警惕防盜軟件變身遠(yuǎn)程劫持的幫兇

防盜軟件，本是幫助計(jì)算機(jī)用戶找回所丟失或被盜計(jì)算機(jī)、避免重要數(shù)據(jù)泄露的有力武器。在很多計(jì)算機(jī)找回的案例中，防盜軟件一方面扮演著我們重要數(shù)據(jù)的守護(hù)者，能夠行之有效地防止商業(yè)機(jī)密、個(gè)人信息等資料的丟失；另一方面，它可以為警方提供“新用戶”的IP地址或電話，“照亮”了被盜計(jì)算機(jī)回家的路。然而，誰(shuí)能想到，防盜軟件竟然暗藏威脅！卡巴斯基實(shí)驗(yàn)室最新的研究報(bào)告顯示，防盜軟件也有可能變身成為黑客們發(fā)起遠(yuǎn)程劫持的幫兇，置裝有此軟件的計(jì)算機(jī)于不安全的環(huán)境之中。據(jù)悉，該報(bào)告中所涉及的防盜軟件名為Absolute Computrace，由Absolute Software公司出品。

顯神通于危時(shí)

根據(jù)Absolute Software官方網(wǎng)站的介紹，這款名為Absolute Computrace的防盜軟件“擁有前所未有的強(qiáng)大功能”。它集資產(chǎn)管理、數(shù)據(jù)與設(shè)備安全、地理技術(shù)、計(jì)算機(jī)取證、失竊找回等功能于一身，“已成功參與25,000多起找回案件，并與全球各地的警方保持密切合作”。

早在2007年初，Absolute Computrace公司就曾針對(duì)頻頻發(fā)生的筆記本電腦盜竊案件，推出一款名為Computrace LoJack的防盜軟件。筆記本裝上Computrace LoJack軟件之后，就相當(dāng)于安裝上了一個(gè)“定位追蹤裝置”。一旦該筆記本電腦被偷走后，上面的Computrace LoJack軟件便能自動(dòng)向Absolute Software公司的監(jiān)聽(tīng)中心提供該筆記本的IP地址或者電話號(hào)碼，這樣便可協(xié)助警方找回筆記本。Computrace LoJack軟件還可自動(dòng)對(duì)硬盤(pán)的內(nèi)容進(jìn)行刪除，這樣即使筆記本被偷，用戶也不用擔(dān)心信息泄露。官方消息稱，該軟件“平均每周可以幫忙追回100臺(tái)電腦”。

隱其身于無(wú)形

不難想象，如此功能齊全、性能突出的防盜軟件會(huì)擁有著為數(shù)眾多的使用者。對(duì)此，卡巴斯基實(shí)驗(yàn)室公布的數(shù)據(jù)是，約有150,000個(gè)用戶的計(jì)算機(jī)上運(yùn)行著Computrace代理程序。據(jù)估計(jì)，已激活Computrace代理程序的用戶總數(shù)量就超過(guò)200萬(wàn)。然而，令人匪夷所思的是，在規(guī)模龐大的用戶群中，知曉其計(jì)算機(jī)中運(yùn)行著該防盜軟件這一事實(shí)的用戶數(shù)量，目前可能僅占少數(shù)。

那么，究竟何種原因?qū)е麓蠖鄶?shù)用戶們對(duì)此毫不知情呢？

這還要從卡巴斯基實(shí)驗(yàn)室進(jìn)行此項(xiàng)研究的起因開(kāi)始。原來(lái)，卡巴斯基實(shí)驗(yàn)室的研究人員在其個(gè)人計(jì)算機(jī)和公司計(jì)算機(jī)上發(fā)現(xiàn)了運(yùn)行的Computrace代理程序，但這些程序的運(yùn)行并沒(méi)有事先得到授權(quán)。雖然Computrace是Absolute Software公司開(kāi)發(fā)的一款合法產(chǎn)品，它就如同穿著隱身衣一般，隱匿于用戶的計(jì)算機(jī)之中。一些用戶因此認(rèn)為自己從未安裝和激活該程序，甚至不知道自己的計(jì)算機(jī)上運(yùn)行著這一軟件。

對(duì)于少數(shù)知曉自己筆記本上運(yùn)用著該軟件的用戶而言，想要永久性刪除或停止防盜軟件幾乎是不可能的。與大多數(shù)傳統(tǒng)的預(yù)裝軟件有所不同的是，Computrace能夠躲過(guò)專(zhuān)業(yè)的系統(tǒng)清理，甚至替換硬盤(pán)都無(wú)法清除該程序。

有些用戶或許會(huì)誤將Computrace認(rèn)作是惡意軟件，因?yàn)樗褂昧撕芏喈?dāng)今惡意軟件常用的手段，例如反調(diào)試技術(shù)和反逆向工程技術(shù)、向其他進(jìn)程內(nèi)存注入、建立秘密通訊、修補(bǔ)磁盤(pán)上的系統(tǒng)文件、對(duì)配置文件進(jìn)行加密以及通過(guò)BIOS/固件釋放Windows可執(zhí)行文件等。

存漏洞而堪憂

卡巴斯基實(shí)驗(yàn)室發(fā)布的報(bào)告稱，Computrace代理程序所使用的網(wǎng)絡(luò)協(xié)議能夠提供基礎(chǔ)的遠(yuǎn)程代碼執(zhí)行功能。這種協(xié)議不需要遠(yuǎn)程服務(wù)器使用任何加密措施或認(rèn)證，使得用戶在惡意網(wǎng)絡(luò)環(huán)境中遭遇遠(yuǎn)程攻擊的幾率變大。

攻擊者能夠以隱蔽的手段利用這一安全漏洞訪問(wèn)數(shù)百萬(wàn)用戶的計(jì)算機(jī)?？ò退够鶎?shí)驗(yàn)室本次研究的焦點(diǎn)為存在于很多筆記本電腦或臺(tái)式機(jī)的固件或ROM BIOS中的Absolute Computrace代理程序。

“潛在威脅是，有能力竊聽(tīng)光纖通訊的攻擊者能夠劫持所有運(yùn)行Absolute Computrace的計(jì)算機(jī)。該軟件能夠被用來(lái)部署和植入間諜軟件，”卡巴斯基實(shí)驗(yàn)室全球研發(fā)和分析團(tuán)隊(duì)首席安全研究員Vitaly Kamluk警告說(shuō)，“我們估計(jì)，運(yùn)行Absolute Computrace軟件的計(jì)算機(jī)數(shù)量高達(dá)數(shù)百萬(wàn)臺(tái)，大部分用戶可能都不知道該軟件在自己的計(jì)算機(jī)上被激活和運(yùn)行。是誰(shuí)有權(quán)利在這些計(jì)算機(jī)上激活了Computrace他們是否被未知攻擊者監(jiān)控?這個(gè)謎團(tuán)需要我們?nèi)ソ议_(kāi)?！?/p>

宜未雨而綢繆

雖然目前還沒(méi)有證據(jù)顯示Absolute Computrace被用做一種攻擊平臺(tái)。但是，來(lái)自包括全球知名網(wǎng)絡(luò)安全服務(wù)商卡巴斯基實(shí)驗(yàn)室在內(nèi)多家公司的專(zhuān)業(yè)人士均認(rèn)為，這種攻擊有可能成為現(xiàn)實(shí)。一些無(wú)法解釋的、驚人的Computrace未授權(quán)激活使得這種情況變得更為現(xiàn)實(shí)。

卡巴斯基實(shí)驗(yàn)室的報(bào)告中還指出，早在2009年，來(lái)自Core Security Technologies的研究人員就提交了他們對(duì)于Absolute Computrace的研究結(jié)果。研究人員對(duì)這一技術(shù)的危險(xiǎn)性發(fā)出警告，指出攻擊者可以修改系統(tǒng)注冊(cè)表，劫持Computrace的回調(diào)指令。Computrace代理程序的行為具有侵犯性，所以其在過(guò)去也曾被檢測(cè)為惡意軟件。根據(jù)一些報(bào)道，微軟也曾經(jīng)將Computrace檢測(cè)為VirTool:Win32/BeeInject惡意程序，盡管之后微軟和其他一些反惡意軟件廠商將這一檢測(cè)結(jié)果清除。目前，大多數(shù)反惡意軟件公司均將Computrace可執(zhí)行文件加入了白名單。

“像Absolute Computrace軟件這樣威力強(qiáng)大的工具應(yīng)當(dāng)必須使用驗(yàn)證手段和加密機(jī)制，以確保其被正確利用。很顯然，如果有很多計(jì)算機(jī)上運(yùn)行著Computrace代理程序，其開(kāi)發(fā)商(即Absolute Software)有責(zé)任告知用戶，并且應(yīng)當(dāng)向用戶解釋如何終止或關(guān)閉該軟件，”Kamluk說(shuō)，“否則，這些代理程序還會(huì)繼續(xù)在用戶不知情的情況下在計(jì)算機(jī)上運(yùn)行，容易被遠(yuǎn)程惡意利用。”

（王蕊）