警惕防盜軟件變身遠程劫持的幫兇

警惕防盜軟件變身遠程劫持的幫兇

防盜軟件，本是幫助計算機用戶找回所丟失或被盜計算機、避免重要數據泄露的有力武器。在很多計算機找回的案例中，防盜軟件一方面扮演著我們重要數據的守護者，能夠行之有效地防止商業機密、個人信息等資料的丟失；另一方面，它可以為警方提供“新用戶”的IP地址或電話，“照亮”了被盜計算機回家的路。然而，誰能想到，防盜軟件竟然暗藏威脅！卡巴斯基實驗室最新的研究報告顯示，防盜軟件也有可能變身成為黑客們發起遠程劫持的幫兇，置裝有此軟件的計算機于不安全的環境之中。據悉，該報告中所涉及的防盜軟件名為Absolute Computrace，由Absolute Software公司出品。

顯神通于危時

根據Absolute Software官方網站的介紹，這款名為Absolute Computrace的防盜軟件“擁有前所未有的強大功能”。它集資產管理、數據與設備安全、地理技術、計算機取證、失竊找回等功能于一身，“已成功參與25,000多起找回案件，并與全球各地的警方保持密切合作”。

早在2007年初，Absolute Computrace公司就曾針對頻頻發生的筆記本電腦盜竊案件，推出一款名為Computrace LoJack的防盜軟件。筆記本裝上Computrace LoJack軟件之后，就相當于安裝上了一個“定位追蹤裝置”。一旦該筆記本電腦被偷走后，上面的Computrace LoJack軟件便能自動向Absolute Software公司的監聽中心提供該筆記本的IP地址或者電話號碼，這樣便可協助警方找回筆記本。Computrace LoJack軟件還可自動對硬盤的內容進行刪除，這樣即使筆記本被偷，用戶也不用擔心信息泄露。官方消息稱，該軟件“平均每周可以幫忙追回100臺電腦”。

隱其身于無形

不難想象，如此功能齊全、性能突出的防盜軟件會擁有著為數眾多的使用者。對此，卡巴斯基實驗室公布的數據是，約有150,000個用戶的計算機上運行著Computrace代理程序。據估計，已激活Computrace代理程序的用戶總數量就超過200萬。然而，令人匪夷所思的是，在規模龐大的用戶群中，知曉其計算機中運行著該防盜軟件這一事實的用戶數量，目前可能僅占少數。

那么，究竟何種原因導致大多數用戶們對此毫不知情呢？

這還要從卡巴斯基實驗室進行此項研究的起因開始。原來，卡巴斯基實驗室的研究人員在其個人計算機和公司計算機上發現了運行的Computrace代理程序，但這些程序的運行并沒有事先得到授權。雖然Computrace是Absolute Software公司開發的一款合法產品，它就如同穿著隱身衣一般，隱匿于用戶的計算機之中。一些用戶因此認為自己從未安裝和激活該程序，甚至不知道自己的計算機上運行著這一軟件。

對于少數知曉自己筆記本上運用著該軟件的用戶而言，想要永久性刪除或停止防盜軟件幾乎是不可能的。與大多數傳統的預裝軟件有所不同的是，Computrace能夠躲過專業的系統清理，甚至替換硬盤都無法清除該程序。

有些用戶或許會誤將Computrace認作是惡意軟件，因為它使用了很多當今惡意軟件常用的手段，例如反調試技術和反逆向工程技術、向其他進程內存注入、建立秘密通訊、修補磁盤上的系統文件、對配置文件進行加密以及通過BIOS/固件釋放Windows可執行文件等。

存漏洞而堪憂

卡巴斯基實驗室發布的報告稱，Computrace代理程序所使用的網絡協議能夠提供基礎的遠程代碼執行功能。這種協議不需要遠程服務器使用任何加密措施或認證，使得用戶在惡意網絡環境中遭遇遠程攻擊的幾率變大。

攻擊者能夠以隱蔽的手段利用這一安全漏洞訪問數百萬用戶的計算機。卡巴斯基實驗室本次研究的焦點為存在于很多筆記本電腦或臺式機的固件或ROM BIOS中的Absolute Computrace代理程序。

“潛在威脅是，有能力竊聽光纖通訊的攻擊者能夠劫持所有運行Absolute Computrace的計算機。該軟件能夠被用來部署和植入間諜軟件，”卡巴斯基實驗室全球研發和分析團隊首席安全研究員Vitaly Kamluk警告說，“我們估計，運行Absolute Computrace軟件的計算機數量高達數百萬臺，大部分用戶可能都不知道該軟件在自己的計算機上被激活和運行。是誰有權利在這些計算機上激活了Computrace他們是否被未知攻擊者監控?這個謎團需要我們去揭開。”

宜未雨而綢繆

雖然目前還沒有證據顯示Absolute Computrace被用做一種攻擊平臺。但是，來自包括全球知名網絡安全服務商卡巴斯基實驗室在內多家公司的專業人士均認為，這種攻擊有可能成為現實。一些無法解釋的、驚人的Computrace未授權激活使得這種情況變得更為現實。

卡巴斯基實驗室的報告中還指出，早在2009年，來自Core Security Technologies的研究人員就提交了他們對于Absolute Computrace的研究結果。研究人員對這一技術的危險性發出警告，指出攻擊者可以修改系統注冊表，劫持Computrace的回調指令。Computrace代理程序的行為具有侵犯性，所以其在過去也曾被檢測為惡意軟件。根據一些報道，微軟也曾經將Computrace檢測為VirTool:Win32/BeeInject惡意程序，盡管之后微軟和其他一些反惡意軟件廠商將這一檢測結果清除。目前，大多數反惡意軟件公司均將Computrace可執行文件加入了白名單。

“像Absolute Computrace軟件這樣威力強大的工具應當必須使用驗證手段和加密機制，以確保其被正確利用。很顯然，如果有很多計算機上運行著Computrace代理程序，其開發商(即Absolute Software)有責任告知用戶，并且應當向用戶解釋如何終止或關閉該軟件，”Kamluk說，“否則，這些代理程序還會繼續在用戶不知情的情況下在計算機上運行，容易被遠程惡意利用。”

（王蕊）