Абсолютный дом и офис

Absolute Home & Office (первоначально известная как CompuTrace и LoJack для ноутбуков ) — это проприетарное программное обеспечение для восстановления кражи ноутбука ( программное обеспечение для отслеживания ноутбуков ). Постоянные функции безопасности встроены в прошивку устройств. В компании Absolute Home & Office есть группа по расследованию и восстановлению, которая сотрудничает с правоохранительными органами и возвращает ноутбуки их владельцам. ^[1]^[2]^[3]^[4] Absolute Software лицензировала название LoJack у службы восстановления автомобилей LoJack в 2005 году. ^[5]

Анализ Absolute Home & Office (LoJack), проведенный «Лабораторией Касперского», показывает, что в редких случаях программа предварительно активировалась без авторизации пользователя. Программный агент ведет себя как руткит , переустанавливая небольшой агент-установщик в ОС Windows во время загрузки. Этот установщик позже загружает полную версию агента с серверов Absolute через Интернет. Этот установщик уязвим для некоторых локальных атак, ^[6]^[7] и атаки хакеров, которые могут контролировать сетевые коммуникации жертвы. ^[8]

Функциональность

После установки агент Absolute Home & Office становится постоянным, делая первоначальный вызов «Центру мониторинга». ^[8] Программное обеспечение может обновляться модулями, загружаемыми с командного сервера. ^[8] Последующий контакт происходит ежедневно, проверяя, остается ли агент установленным и предоставляет ли он подробные данные, такие как местоположение, пользователь, программное обеспечение и оборудование.

В случае кражи устройства владелец может связаться с Абсолютом. Затем, при следующем подключении защищенного устройства к Интернету , оно переключается в режим кражи и ускоряет связь с Центром мониторинга. Команда по расследованиям и восстановлению проводит криминалистическую экспертизу компьютера, используя захват ключей, сканирование реестра и файлов, геолокацию и другие методы расследования. Команда сотрудничает с местными правоохранительными органами, чтобы вернуть защищенное устройство, и предоставляет полиции доказательства для предъявления уголовных обвинений . В случае кражи пользователь может войти в свою онлайн-учетную запись, чтобы удаленно заблокировать компьютер или удалить конфиденциальные файлы, чтобы избежать кражи личных данных . ^[9]

Приложение Absolute Home & Office предустановлено на некоторых компьютерах Acer , Asus , Fujitsu , Panasonic , Toshiba , Dell , HP и Lenovo . ^[10] Apple, в отличие от некоторых других производителей ПК , не позволяет устанавливать программное обеспечение в BIOS. ^[11] Absolute Home & Office можно установить на компьютеры Apple, но он будет храниться на жестком диске, а не в BIOS. Если жесткий диск будет заменен или переформатирован, программное обеспечение будет потеряно.

Служба BIOS отключена по умолчанию, и ее можно включить, купив лицензию на Absolute Home & Office ; после включения BIOS скопирует агент загрузчика с именем rpcnetp.exe из флэш-ПЗУ BIOS в папку System32 в системах Windows. На некоторых ноутбуках Toshiba rpcnetp.exe предустановлен компанией Toshiba на жестком диске устройства. По очереди, rpcnetp.exe загрузит полную версию программного обеспечения агента и установит rpcnet.exe Служба Windows . С тех пор, rpcnet.exe будет звонить домой на серверы Absolute Software один раз в день, запрашивая отчет о возможной краже и передавая результаты сканирования системы, IP-адрес, имена пользователей и компьютеров, а также данные о местоположении, которые он получает либо путем подключения потока данных GPS на машины, оснащенные оборудованием GPS, или путем триангуляции доступных точек доступа WLAN поблизости, предоставляя идентификаторы WLAN и мощность сигнала, чтобы серверы Absolute Software могли геолокировать устройство с помощью базы данных Mexens Technology . ^{[ нужна ссылка ]} Если Absolute получает отчет о краже, службе можно удаленно дать команду звонить домой каждые 15 минут, устанавливать дополнительное программное обеспечение стороннего поставщика, такое как кейлоггер или криминалистический пакет, делать снимки экрана и выполнять различные другие действия.

Absolute Home & Office также поддерживает Intel схему AT-p защиты от краж . Если он не сможет позвонить домой в течение настраиваемого интервала времени, при следующей перезагрузке потребуется специальный пароль BIOS. В этом случае его можно настроить на немедленное отключение питания машины для принудительной перезагрузки.

Упорство

Модуль сохранения , установленный как часть системного BIOS/UEFI, определяет, когда программное обеспечение Absolute Home & Office было удалено. Это гарантирует автоматическую переустановку программного обеспечения даже в случае замены жесткого диска или прошивки . Absolute Software сотрудничает со многими производителями оригинального оборудования для внедрения этой технологии в прошивку компьютеров, нетбуков, смартфонов и планшетов компаний Acer , ASUS , Dell , Fujitsu , HP , Lenovo , Motion, Panasonic , Samsung и Toshiba . ^[12]

Уязвимости

Клиент Absolute Home & Office ведет себя как троян и руткит , но некоторые из его модулей занесены в белый список несколькими поставщиками антивирусов. ^[6]^[8]

На конференции Black Hat Briefings в 2009 году исследователи показали, что реализация агента Computrace/LoJack, встроенного в BIOS, имеет уязвимости и что этот «доступный контроль над агентом защиты от кражи позволяет использовать очень опасную форму руткита с расширенными возможностями BIOS, который может обойти все ограничения набора микросхем или установки и повторно использовать многие существующие функции, предлагаемые в этом виде программного обеспечения». ^[13]^[14]^[15] Absolute Software отвергла высказанные в ходе исследования утверждения, заявив, что «наличие модуля Computrace никоим образом не ослабляет безопасность BIOS». Другой независимый аналитик подтвердил наличие недостатков, отметив, что атака с использованием вредоносного ПО будет «весьма экзотической», и предположил, что более серьезное беспокойство вызывает то, что сообразительные воры могут отключить функцию домашнего телефона. ^[16] Позже компания Core Security Technologies подтвердила выводы исследователя, опубликовав на своей веб-странице несколько доказательств концепции, видео и утилиты. ^[17]

Локальная и удаленная эксплуатация агента CompuTrace первого этапа, который используется для установки полной версии после активации или переустановки операционной системы, была продемонстрирована на выставке BlackHat USA 2014. Этот агент-дроппер внесен в белый список несколькими поставщиками антивирусов и может использоваться для установки до некоторых локальных атак, например, для загрузки и установки программного обеспечения с разных серверов. ^[8] ESET обнаружила первую атаку с использованием руткита LoJax, который заражал уязвимые конфигурации LoJack. ^[18]

См. также

Добыча (программное обеспечение)

Ссылки

^ Официальные документы отчета о краже, заархивированные 18 марта 2013 г. в Wayback Machine . от Абсолютного программного обеспечения
^ Дэвид А. Андельман (19 августа 2005 г.). «Работает ли LoJack для ноутбуков?» . Форбс . Архивировано из оригинала 19 декабря 2005 года.
^ LoJack предотвращает кражу ноутбука , Techworld.com
^ «Обзор программного обеспечения LoJack для ноутбуков от PCMag.com» . 21 июня 2011 г.
^ «LoJack лицензирует технологию для отслеживания украденных компьютеров» . Бостонский деловой журнал. 27 июня 2005 года . Проверено 10 апреля 2009 г.
^ Перейти обратно: ^а ^б Возвращение к Absolute Computrace / SecureList, Виталий Камлюк, 12 февраля 2014 г.
^ Ортега, Альфредо; Сакко, Анибал (24 июля 2009 г.). Деактивировать руткит: Атаки на технологии защиты от кражи BIOS (PDF) . Черная шляпа США, 2009 г. (PDF) . Бостон, Массачусетс: Основные технологии безопасности . Проверено 12 июня 2014 г.
^ Перейти обратно: ^а ^б ^с ^д ^и Чамлык, Виталий; Белов, Сергей; Сакко, Ганнибал (август 2014 г.). Новый взгляд на абсолютный бэкдор (PDF) . Черная шляпа США, 2014 г. (PDF) . Лас- Вегас Проверено 2 января 2015 г.
^ Как защитить ваш ноутбук от кражи - Эндрю Нуска для The ToyBox, 26 февраля 2009 г.
^ Absolute Software, партнер: совместимость с BIOS , Absolute.com
^ «Как может loJack быть эффективным, если у меня есть пароль… кто-то украл мой ноутбук, и он не может войти в систему, чтобы подключиться к Интернету» . Архивировано из оригинала 18 января 2012 г. Проверено 18 июня 2012 г.
^ Генеральный директор Absolute заявляет, что рост ускорится после победы Samsung / Bloomberg, Хьюго Миллер - 15 апреля 2013 г.
^ Сакко, Анибал; Альфредо Ортега. «Деактивировать руткит» . Использование вещей . Проверено 6 октября 2009 г.
^ Робертсон, Джордан. «Программное обеспечение для защиты от кражи может создать дыру в безопасности» . Ассошиэйтед Пресс . Архивировано из оригинала 8 августа 2009 г. Проверено 6 августа 2009 г.
^ Сакко, Анибал; Альфредо Ортега. «Деактивировать руткит» . Брифинги «Черной шляпы» . Архивировано из оригинала 8 июля 2011 г. Проверено 6 августа 2009 г.
^ «Absolute Software преуменьшает претензии к руткитам BIOS» . ЗДНет . Архивировано из оригинала 14 октября 2012 г. Проверено 20 августа 2009 г.
^ Сакко, Анибал; Альфредо Ортега. «Деактивировать руткит» . Основные технологии безопасности . Проверено 8 сентября 2009 г.
^ LoJax: Первый руткит UEFI, обнаруженный в дикой природе, предоставлено группой Sednit , WeLiveSecurity от ESET, 27 сентября 2018 г.

Внешние ссылки

11 резолюций по безопасности на 2013 год / PCWorld
- Как защитить свой ноутбук / PCWorld
Верните украденный ноутбук с помощью антивирусного программного обеспечения, заархивировано 11 мая 2013 г. на Wayback Machine / About.com
Новые подарки в последнюю минуту для деловых путешественников / USA Today
CompuTrace в ThinkWiki (на немецком языке)
Миллионы компьютеров пострадали от загадочного бэкдора Computrace / Threatpost, 11 августа 2014 г.

[1] Официальные документы отчета о краже, заархивированные 18 марта 2013 г. в Wayback Machine . от Абсолютного программного обеспечения

[2] Дэвид А. Андельман (19 августа 2005 г.). «Работает ли LoJack для ноутбуков?» . Форбс . Архивировано из оригинала 19 декабря 2005 года.

[3] LoJack предотвращает кражу ноутбука , Techworld.com

[4] «Обзор программного обеспечения LoJack для ноутбуков от PCMag.com» . 21 июня 2011 г.

[5] «LoJack лицензирует технологию для отслеживания украденных компьютеров» . Бостонский деловой журнал. 27 июня 2005 года . Проверено 10 апреля 2009 г.

[securelist-2014-6] Перейти обратно: ^а ^б Возвращение к Absolute Computrace / SecureList, Виталий Камлюк, 12 февраля 2014 г.

[Ortega-7] Ортега, Альфредо; Сакко, Анибал (24 июля 2009 г.). Деактивировать руткит: Атаки на технологии защиты от кражи BIOS (PDF) . Черная шляпа США, 2009 г. (PDF) . Бостон, Массачусетс: Основные технологии безопасности . Проверено 12 июня 2014 г.

[Kamluk14-8] Перейти обратно: ^а ^б ^с ^д ^и Чамлык, Виталий; Белов, Сергей; Сакко, Ганнибал (август 2014 г.). Новый взгляд на абсолютный бэкдор (PDF) . Черная шляпа США, 2014 г. (PDF) . Лас- Вегас Проверено 2 января 2015 г.

[9] Как защитить ваш ноутбук от кражи - Эндрю Нуска для The ToyBox, 26 февраля 2009 г.

[10] Absolute Software, партнер: совместимость с BIOS , Absolute.com

[11] «Как может loJack быть эффективным, если у меня есть пароль… кто-то украл мой ноутбук, и он не может войти в систему, чтобы подключиться к Интернету» . Архивировано из оригинала 18 января 2012 г. Проверено 18 июня 2012 г.

[12] Генеральный директор Absolute заявляет, что рост ускорится после победы Samsung / Bloomberg, Хьюго Миллер - 15 апреля 2013 г.

[13] Сакко, Анибал; Альфредо Ортега. «Деактивировать руткит» . Использование вещей . Проверено 6 октября 2009 г.

[14] Робертсон, Джордан. «Программное обеспечение для защиты от кражи может создать дыру в безопасности» . Ассошиэйтед Пресс . Архивировано из оригинала 8 августа 2009 г. Проверено 6 августа 2009 г.

[15] Сакко, Анибал; Альфредо Ортега. «Деактивировать руткит» . Брифинги «Черной шляпы» . Архивировано из оригинала 8 июля 2011 г. Проверено 6 августа 2009 г.

[16] «Absolute Software преуменьшает претензии к руткитам BIOS» . ЗДНет . Архивировано из оригинала 14 октября 2012 г. Проверено 20 августа 2009 г.

[17] Сакко, Анибал; Альфредо Ортега. «Деактивировать руткит» . Основные технологии безопасности . Проверено 8 сентября 2009 г.

[18] LoJax: Первый руткит UEFI, обнаруженный в дикой природе, предоставлено группой Sednit , WeLiveSecurity от ESET, 27 сентября 2018 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]