비디오: Iggy Azalea - Fancy ft. Charli XCX (Official Music Video) (십월 2024)
카스퍼 스키 랩 (Kaspersky Lab) 연구원에 따르면, 거의 모든 주요 컴퓨터 제조업체의 랩톱에 설치된 인기있는 도난 방지 소프트웨어를 공격자가 컴퓨터를 가로 챌 수 있습니다.
Absolute Software는 Computrace 제품이 조직이 엔드 포인트를 추적하고 보호하는 데 도움이된다고 주장합니다. 카스퍼 스키 랩에 관한 한, 공격자는이 도구를 사용하여 이러한 시스템을 원격으로 모니터링하고 제어 할 수 있으며 컴퓨터에서 모든 정보를 삭제할 수도 있습니다.
Kasperksy Lab의 수석 보안 연구원 인 Vitaly Kamluk는“Computrace 에이전트가 실행중인 컴퓨터가 많이있는 경우 사용자에게 알리고 소프트웨어를 비활성화 및 비활성화하는 방법을 설명하는 것은 제조업체의 책임입니다.
Kamluk은 지난 주 카스퍼 스키 랩 보안 분석가 정상 회의에서 Absolute Software의 제품을 사거나 설치하지 않았음에도 불구하고 자신의 가정용 랩톱에서 Computrace를 찾는 것에 놀랐다고 말했습니다. 그는 온라인에서 사용자들의 다른 보고서가 있기 때문에 유일한 사람은 아니라고 말했다.
내부 Computrace
Computrace는 Samsung, Acer, Lenovo, Hewlett-Packard, Dell, Panasonic, Toshiba, Asus, Gateway, General Dynamics, Fujitsu 및 Gamatech를 포함한 12 개의 주요 랩톱 제조업체에 사전 설치된 것으로 보입니다. 도난 방지 도구로 사용되기 때문에 주요 바이러스 백신 공급 업체가 화이트리스트에 등록하므로 대부분의 사용자는 소프트웨어가 컴퓨터에 있다는 것을 전혀 알지 못합니다. Cubica Labs의 공동 창립자이자 연구원 인 Anibal Sacco는 2009 년 코어 시큐리티 테크놀로지스에서 처음 Computrace를 분석 한 바 있습니다.
에이전트는 펌웨어에 상주하므로 실행중인 운영 체제 또는 어떤 종류의 보안 보호 기능이 중요하지 않습니다. 하드웨어에 내장되어 있으며 제거하기가 어렵습니다. 사전 설치된 대부분의 소프트웨어는 사용자가 영구적으로 제거하거나 비활성화 할 수 있지만 Computrace는 전문적인 시스템 정리 및 하드 디스크 교체에서도 견딜 수 있도록 설계되었습니다.
카스퍼 스키 보안 네트워크가 제공 한 통계에 따르면, 약 15 만 명의 사용자가 컴퓨터에서 Computrace 에이전트를 실행하고 있으며 이는 Computrace가 활성화 된 전 세계 사용자 수가 2 백만을 초과 할 수 있음을 의미합니다. 카스퍼 스키 랩은 이들 컴퓨터의 대부분이 미국과 러시아에 위치하고 있다고 말했다.
문제가있는 행동
Computrace는 업무용으로 설계된 상용 소프트웨어이지만 안티 디버깅 및 안티 리버스 엔지니어링 기술 사용, 다른 프로세스에 메모리 삽입 및 구성 파일 암호화를 포함하여 맬웨어와 동일한 트릭을 많이 사용합니다. Sacco는이 툴을 "잠재적 인 툴킷"이라고 설명했으며 Windows 에이전트는 어떤 종류의 인증도하지 않았다고 언급했다. Computrace는 암호화되지 않은 채널을 통해 Absolute Software의 서버와 통신하고 암호화되지 않은 정보를 저장합니다. Sacco는 네트워크 프로토콜을 원격 코드 실행에 사용할 수 있으며 악용에 취약하다고 경고했다.
카스퍼 스키 랩은 이후 통신 단계에서 암호화가 네트워크 프로토콜에 추가 된 것으로 보이지만 공격자는 여전히 암호화되지 않은 구성 요소를 활용하여 시스템을 원격으로 가로 챌 수 있다고 밝혔다. Kamluk는 Computrace를 사용하여 엔드 포인트에 스파이웨어를 설치하고 ARP 중독을 통해 Small Agent를 실행하는 컴퓨터에서 공격자의 호스트로 모든 트래픽을 리디렉션하고 DNS 서비스 공격을 시작하여 에이전트를 가짜 C & C 서버에 연결하도록 속일 수있었습니다. 몇 가지 이름을 지정하십시오.
Sacco는 참석자들에게 "이것에는 큰 문제가있다"고 말했다.
문제 없어요?
Absolute Software의 CTO 인 Phil Gardner는 카스퍼 스키의 연구 결과가 "결함이있다"고 비판했으며 "질문의 여지가있는 장점"이 있다고 말했습니다. Absolute Software는 Computrace가 서버에 암호화 및 인증을 사용하여 Kamluk가 경고 한 공격 유형을 방지 할 것이라고 말했다. 가드너는 에이전트는 권한이 부여되지 않은 한 서버와 통신하지 않으며 "서버와 클라이언트의 상호 인증을 통해서만 통신 할 것"이라고 말했다.
공격자가 Computrace를 악의적으로 사용하려면 엔드 포인트가 손상되어야합니다. Absolute Software는 FAQ에서 "이러한 공격을 유발하는 장애물은 상당하며 Kaspersky 보고서에 설명 된 메커니즘을 통해 달성 할 수 없습니다"라고 말했습니다.
그럼에도 불구하고 모르는 컴퓨터에서 실행되는 아이디어가 마음에 들지 않으면 Kaspersky Lab의 지침에 따라 Computrace를 찾아서 비활성화 할 수 있습니다.
도용 및 삭제
Kamluk는 정상 회담에서 공격자가 Computrace가 설치된 시스템에 대한 MITM (Man-in-the-Middle) 공격을 시작하는 방법을 보여주는 개념 증명을 시연했습니다. 침입자는 Absolute Software의 서버 인 것처럼 가장하여 대상 컴퓨터의 메모리를 변경할 수 있습니다.
Kamluk는 "인터넷 연결을 제어 할 수있는 권한을 가진 사람이라면 누구나 정부 나 ISP와 같은 방식으로 할 수있다"고 말했다.
카스퍼 스키 랩에 따르면 현재까지 Absolute Computrace가 공격에 사용되었다는 증거는 없습니다. Kamluk는 Absolute Software는 Computrace를 악용 할 수 없도록 인증 및 암호화를 사용하여 Computrace를 보호해야한다고 말합니다.
Kamluk의 프레젠테이션 중에 여러 참석자가 Computrace가 컴퓨터에 있는지 BIOS를 확인하는 것을 볼 수있었습니다. 발표가 끝날 무렵, 많은 참석자들이 Computrace가 얼마나 널리 퍼져 있는지, 그리고 자신의 컴퓨터에 자신의 존재를 알지 못했음을 깨달았으므로 회의실의 긴장은 거의 느껴졌습니다. 또한 기본적으로 사용 가능한 수를 방해했습니다.
