Внимание! Возможно и Вашим компьютером управляют извне
Оригинал взят у kontrip в Внимание! Возможно и Вашим компьютером управляют извне
24 июля на презентации хакерской конференции Black Hat участники Альфред Ортега (Alfredo Ortega) и Анибал Сакко (Anibal Sacco) представили публике отчет о BIOS-рутките аппаратного уровня,так, как оснащаются ноутбуки на базе проприетарной BIOS Phoenix производителей HP, Dell, Lenovo, Toshiba, Gateway, Asus и Panasonic. Эта сведения осталась бы незамеченной никем, если бы о ней вскользь не упомянули западные и наши компьютерные СМИ. Но эти мимолетные упоминания о BIOS-рутките несравнимы с той высокой опасностью, ту,что он представляет для пользователя. Любопытно, что этот руткит легален и дает возможность держателям лицензии на него, то есть собственникам, американским компаниям, управлять компьютером пользователя. То что он закрытый и скрытый и так ясно.
Посмотрим чем занимается этот руткит и каковы его способности. Вот выдержки из отчета Ортеги и Сакко (сокращенный перевод):
Атаки на BIOS-технологию защиты от кражи / Alfredo Ortega, Anibal Sacco
Введение
Это отчет о нашем исследовании технологии защиты от кражи компьютера встроенной в PC BIOS. Мы проанализировали программу Computrace BIOS и задокументировали уязвимости, которые позволяют взять под контроль связь с агентской программой. Еще мы вкратце описали экспериментальный способ как вернуть заводские настройки Агента за счет его активации/деактивации. Мы уверены, что такие возможности управления Агентом характеризуют его как высочайшей опасности BIOS-руткит, который обходит все аппаратные или программные ограничения и выходит далеко за рамки функций прочих подобных программ.
Встраиваемая в BIOS на большинство ноутбуков, продающихся с 2005 года, эта технология защиты от кражи в настоящий момент невозможно популярна. Компания Phoenix, владеющая лицензией на технологию, безусловный лидер на рынке портативных BIOS, на ее долю приходится 60% продаж.
Система работает так: периодически связывается с авторизованным центром. В случае кражи, авторизованный центр дает команду Агенту стереть всю информацию с жесткого диска или установить местонахождение компьютера, чтобы с помощью правоохранительных органов вернуть похищенное. В целях эффективности, Агент должен быть скрытым, иметь полный контроль на системой и, что самое важное, быть неудаляемым, так как уничтожение данных наиболее популярная мера в случае кражи.
Такие возможности обычно присущи руткитам. Единственное отличие в том, что руткиты расцениваются как вредоносное ПО, а технология защиты от кражи как легальное.
По ходу исследования мы обнаружили, что отсутствие строгой аутентификации в BIOS-агенте является источником ряда уязвимостей, которые имеют возможность скомпроментировать целевую систему. Об этом мы расскажем дальше.
Агент Computrace
Мы нашли детальное описание Агента в Патентной Заявке США 2006/0272020 A1. Эта сведения общедоступна, там исчерпывающее описание технологии, влючая инструкцию как удалить Агента Computrace из BIOS.
Сам Агент, о чем идет речь, это встроенная PCI Option ROM в BIOS большинства ноутбуков и некоторых BIOS настольных систем. Optional ROM по умолчанию выключен как устройство PCI. После активации он вносит изменения в файловую систему Windows непосредственно из BIOS, устанавливает новый сервис и модифицирует файлы ядра и системные службы, например, реест и механизм самовосстановления, включая файл Autochk.exe.
Агент Computrace также имеет возможность читать защищеную файловую систему в Windows Vista. Поддерживает системы Windows 98/XP и Vista с файловыми системами FAT32 и NTFS. Мы проанализировали много версий Агента. После установки Агента и загрузки Windows, агент запускается как служба, связывается с удаленой системой и ждет инструкций. Процесс имеет возможность подзагружать дополнительные программные модули или запускаться с различными параметрами.
Операции Агента
После установки агент региструется как системная служба Windows называя себя "Remote Procedure Call (RPC) Net". Windows использует разные варианты этого имени для своих легальных сервисов RPC. Таким образом, новый сервис легко спутать с легальными сервисами Windows. Сервис реализуется в файлах rpcnet.exe или rpcnetp.exe.
Конфигурация агента хранится в блоке данных из 512 байт. В блоке записан IP-адрес, порт, URL для связи, срок действия и AT-команды (Агент имеет возможность звонить по модему). Блок прописывается в множество мест на компьютере. При первом запуске блок прописывается в реестр и в место между логическими дисками. Таким образом, даже форматирование диска его не удалит. И еще, для обфускации (нечитабельности) конфигурационного блока агент использует XOR-операцию. Но алгоритм шифрования весьма простой, так что блок несложно модифицировать.
Мы представим вам способ как найти и модифицировать этот блок, чтобы Агентом можно было управлять с постороннего сайта и закачать на компьютер неавторизованную программу. На незащищенных BIOS непосредственная модификация конфигурационного блока из Option ROM превращает Агента в опаснейшую форму руткита, недетектируемого антивирусным ПО, так как код самого Агента не менялся.
Активация/деактивация Агента
На некоторых моделях ноутбуков, на пример серии Dell Inspirion, агент имеет возможность быть активирован или деактивирован с помощью опции BIOS. Мы расскажем о способе как переустановить NVRAM с помощью дырки в SMBIOS, чтобы вернуть конфигурацию Агента к заводским настройкам. Но это позволяет любой программе задействовать этот способ, демонстрируя что не существует возможности навсегда активировать или деактивировать Агента.
Выводы
Мы обнаружили три главных проблемы технологии защиты от кражи Computrace:
1. Отсутствие аутентификации для внесения изменений в конфигурацию Агента, что позволяет управлять компьютером с постороннего хоста.
2. Отсутствие аутентификации в скрытом модуле Агента, которая позволяет непосредственно модифицировать BIOS.
3. Всего лишь в одной версии Агента мы нашли возможность его активации/деактивации, чтобы вернуть конфигурацию к заводским настройкам.
Но остались еще вещи, наличие которых мы не можем однозначно ни подтвердить, ни опровергнуть:
4. Агент имеет возможность исполнить неавторизованный код на компьютере.
5. Агент имеет возможность быть активирован без ведома пользователя.
Вне всяких сомнений это Агент с большой буквы, как называют его Ортега и Сакко. Что получается? Собственники Агента-руткита уровня BIOS имеют возможность управлять каждым компьютером, оснащенным BIOS их разработки. Отличаются ли они чем-то от хакера, который посылает вам письмо под видом привлекательной открытки со злобным трояном love.exe? Ничем не отличаются, и являются хакерами международного масштаба. Вместе с тем есть одно отличие, хакер-одиночка действует от своего имени, а хакеры-разработчики-BIOS действуют от имени всех производителей ноутбуков, где задействована их BIOS, то есть HP, Dell, Lenovo, Toshiba, Gateway, Asus и Panasonic.
Вот, например, солдат покупает ноутбук одного из этих производителей с BIOS от Phoenix. К его радости, ноутбук поставляется с проприетарной OEM-Windows, с той,что при первой загрузке интегрируется руткит. С этого момента все IP-адреса от куда солдат выходит в интернет оказываются скомпроментированы, можно установить местанохождение солдата, его активность, и, если активность солдата окажется враждебной, удалить на его компьютере все данные. Степень опасности этого руткита имеет возможность сравниться исключительно с руткитами уровня гипер-машины на современных процессорах, когда ОС работает как виртуальная внутри руткита и пользователь об этом никогда не узнает.
Для защиты данных от кражи достаточно хранить их в зашифрованной файловой системе. Никакой BIOS-руткит якобы защищающий от кражи не нужен. Кроме того, руткит от Phoenix абсолютно бесполезен для своих якобы действительных целей, то есть защиты информации от кражи. Чтобы получить доступ к жесткому диску ноутбука в обход руткита достаточно смонтировать его к другому компьютеру. Истинная цель руткита, которая действительно реализуется, это удаленный доступ к информации на действующем компьютере.
Как можно заметить, инфицированы ли вы:
наличие файлов в системе:
rpcnet.exe
rpcnetp.exe
rpcnet.dll
rpcnetp.dll
Как удалить:
Установить любую ОС отличную от Micro$oft
Позвонить в Absolute и потребовать отключить(только модули останутся)
Удалить вручную freakyacres.com/remove_computrace_lojack
24 июля на презентации хакерской конференции Black Hat участники Альфред Ортега (Alfredo Ortega) и Анибал Сакко (Anibal Sacco) представили публике отчет о BIOS-рутките аппаратного уровня,так, как оснащаются ноутбуки на базе проприетарной BIOS Phoenix производителей HP, Dell, Lenovo, Toshiba, Gateway, Asus и Panasonic. Эта сведения осталась бы незамеченной никем, если бы о ней вскользь не упомянули западные и наши компьютерные СМИ. Но эти мимолетные упоминания о BIOS-рутките несравнимы с той высокой опасностью, ту,что он представляет для пользователя. Любопытно, что этот руткит легален и дает возможность держателям лицензии на него, то есть собственникам, американским компаниям, управлять компьютером пользователя. То что он закрытый и скрытый и так ясно.
Посмотрим чем занимается этот руткит и каковы его способности. Вот выдержки из отчета Ортеги и Сакко (сокращенный перевод):
Атаки на BIOS-технологию защиты от кражи / Alfredo Ortega, Anibal Sacco
Введение
Это отчет о нашем исследовании технологии защиты от кражи компьютера встроенной в PC BIOS. Мы проанализировали программу Computrace BIOS и задокументировали уязвимости, которые позволяют взять под контроль связь с агентской программой. Еще мы вкратце описали экспериментальный способ как вернуть заводские настройки Агента за счет его активации/деактивации. Мы уверены, что такие возможности управления Агентом характеризуют его как высочайшей опасности BIOS-руткит, который обходит все аппаратные или программные ограничения и выходит далеко за рамки функций прочих подобных программ.
Встраиваемая в BIOS на большинство ноутбуков, продающихся с 2005 года, эта технология защиты от кражи в настоящий момент невозможно популярна. Компания Phoenix, владеющая лицензией на технологию, безусловный лидер на рынке портативных BIOS, на ее долю приходится 60% продаж.
Система работает так: периодически связывается с авторизованным центром. В случае кражи, авторизованный центр дает команду Агенту стереть всю информацию с жесткого диска или установить местонахождение компьютера, чтобы с помощью правоохранительных органов вернуть похищенное. В целях эффективности, Агент должен быть скрытым, иметь полный контроль на системой и, что самое важное, быть неудаляемым, так как уничтожение данных наиболее популярная мера в случае кражи.
Такие возможности обычно присущи руткитам. Единственное отличие в том, что руткиты расцениваются как вредоносное ПО, а технология защиты от кражи как легальное.
По ходу исследования мы обнаружили, что отсутствие строгой аутентификации в BIOS-агенте является источником ряда уязвимостей, которые имеют возможность скомпроментировать целевую систему. Об этом мы расскажем дальше.
Агент Computrace
Мы нашли детальное описание Агента в Патентной Заявке США 2006/0272020 A1. Эта сведения общедоступна, там исчерпывающее описание технологии, влючая инструкцию как удалить Агента Computrace из BIOS.
Сам Агент, о чем идет речь, это встроенная PCI Option ROM в BIOS большинства ноутбуков и некоторых BIOS настольных систем. Optional ROM по умолчанию выключен как устройство PCI. После активации он вносит изменения в файловую систему Windows непосредственно из BIOS, устанавливает новый сервис и модифицирует файлы ядра и системные службы, например, реест и механизм самовосстановления, включая файл Autochk.exe.
Агент Computrace также имеет возможность читать защищеную файловую систему в Windows Vista. Поддерживает системы Windows 98/XP и Vista с файловыми системами FAT32 и NTFS. Мы проанализировали много версий Агента. После установки Агента и загрузки Windows, агент запускается как служба, связывается с удаленой системой и ждет инструкций. Процесс имеет возможность подзагружать дополнительные программные модули или запускаться с различными параметрами.
Операции Агента
После установки агент региструется как системная служба Windows называя себя "Remote Procedure Call (RPC) Net". Windows использует разные варианты этого имени для своих легальных сервисов RPC. Таким образом, новый сервис легко спутать с легальными сервисами Windows. Сервис реализуется в файлах rpcnet.exe или rpcnetp.exe.
Конфигурация агента хранится в блоке данных из 512 байт. В блоке записан IP-адрес, порт, URL для связи, срок действия и AT-команды (Агент имеет возможность звонить по модему). Блок прописывается в множество мест на компьютере. При первом запуске блок прописывается в реестр и в место между логическими дисками. Таким образом, даже форматирование диска его не удалит. И еще, для обфускации (нечитабельности) конфигурационного блока агент использует XOR-операцию. Но алгоритм шифрования весьма простой, так что блок несложно модифицировать.
Мы представим вам способ как найти и модифицировать этот блок, чтобы Агентом можно было управлять с постороннего сайта и закачать на компьютер неавторизованную программу. На незащищенных BIOS непосредственная модификация конфигурационного блока из Option ROM превращает Агента в опаснейшую форму руткита, недетектируемого антивирусным ПО, так как код самого Агента не менялся.
Активация/деактивация Агента
На некоторых моделях ноутбуков, на пример серии Dell Inspirion, агент имеет возможность быть активирован или деактивирован с помощью опции BIOS. Мы расскажем о способе как переустановить NVRAM с помощью дырки в SMBIOS, чтобы вернуть конфигурацию Агента к заводским настройкам. Но это позволяет любой программе задействовать этот способ, демонстрируя что не существует возможности навсегда активировать или деактивировать Агента.
Выводы
Мы обнаружили три главных проблемы технологии защиты от кражи Computrace:
1. Отсутствие аутентификации для внесения изменений в конфигурацию Агента, что позволяет управлять компьютером с постороннего хоста.
2. Отсутствие аутентификации в скрытом модуле Агента, которая позволяет непосредственно модифицировать BIOS.
3. Всего лишь в одной версии Агента мы нашли возможность его активации/деактивации, чтобы вернуть конфигурацию к заводским настройкам.
Но остались еще вещи, наличие которых мы не можем однозначно ни подтвердить, ни опровергнуть:
4. Агент имеет возможность исполнить неавторизованный код на компьютере.
5. Агент имеет возможность быть активирован без ведома пользователя.
Вне всяких сомнений это Агент с большой буквы, как называют его Ортега и Сакко. Что получается? Собственники Агента-руткита уровня BIOS имеют возможность управлять каждым компьютером, оснащенным BIOS их разработки. Отличаются ли они чем-то от хакера, который посылает вам письмо под видом привлекательной открытки со злобным трояном love.exe? Ничем не отличаются, и являются хакерами международного масштаба. Вместе с тем есть одно отличие, хакер-одиночка действует от своего имени, а хакеры-разработчики-BIOS действуют от имени всех производителей ноутбуков, где задействована их BIOS, то есть HP, Dell, Lenovo, Toshiba, Gateway, Asus и Panasonic.
Вот, например, солдат покупает ноутбук одного из этих производителей с BIOS от Phoenix. К его радости, ноутбук поставляется с проприетарной OEM-Windows, с той,что при первой загрузке интегрируется руткит. С этого момента все IP-адреса от куда солдат выходит в интернет оказываются скомпроментированы, можно установить местанохождение солдата, его активность, и, если активность солдата окажется враждебной, удалить на его компьютере все данные. Степень опасности этого руткита имеет возможность сравниться исключительно с руткитами уровня гипер-машины на современных процессорах, когда ОС работает как виртуальная внутри руткита и пользователь об этом никогда не узнает.
Для защиты данных от кражи достаточно хранить их в зашифрованной файловой системе. Никакой BIOS-руткит якобы защищающий от кражи не нужен. Кроме того, руткит от Phoenix абсолютно бесполезен для своих якобы действительных целей, то есть защиты информации от кражи. Чтобы получить доступ к жесткому диску ноутбука в обход руткита достаточно смонтировать его к другому компьютеру. Истинная цель руткита, которая действительно реализуется, это удаленный доступ к информации на действующем компьютере.
Как можно заметить, инфицированы ли вы:
наличие файлов в системе:
rpcnet.exe
rpcnetp.exe
rpcnet.dll
rpcnetp.dll
Как удалить:
Установить любую ОС отличную от Micro$oft
Позвонить в Absolute и потребовать отключить(только модули останутся)
Удалить вручную freakyacres.com/remove_computrace_lojack