九游老哥

English

清静产品与计划
行业解决计划
清静服务与运营
清静研究
相助同伴
手艺支持

基础设施清静
数据清静
云盘算清静
工业互联网清静
物联网清静
信息手艺应用立异
所有产品
所有解决计划

基础设施清静

网络清静

清静治理

应用清静

终端清静

身份与会见治理

解决计划

CH

EN

清静产品与计划

基础设施清静网络清静清静治理应用清静终端清静身份与会见治理解决计划数据清静数据清静产品解决计划云盘算清静云盘算清静产品解决计划工业互联网清静工业互联网清静产品解决计划物联网清静物联网清静产品解决计划信息手艺应用立异信创类清静产品
行业解决计划

政府运营商金融能源交通企业科教文卫
清静服务与运营

基础服务清静咨询清静测试清静运维应急响应清静开发场景服务红蓝对抗重保支持数据清静服务DSS 勒索评估服务RPG 企业清静运营中心建设SOC 蓝军一体化平台NICP 自动化渗透测试工具EZ 清静运营服务九游老哥网站清静监测服务Websafe 九游老哥黑洞云洗濯服务 CCSS 九游老哥网站云防护服务 WCP 九游老哥威胁情报中心NTI 九游老哥科技威胁情报云端解决计划九游老哥科技威胁情报外地解决计划九游老哥威胁检测与响应服务MDR 九游老哥外部攻击面治理服务EASM 九游老哥轻量化渗透测试服务PTaaS 智慧都会清静运营智慧都会清静运营九游老哥云九游老哥云
清静研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2024年度报告清静通告威胁通告
相助同伴

相助同伴相助同伴动态成为相助同伴申请成为相助同伴
手艺支持

服务支持服务热线盟管家服务维保服务产品支持产品清静产品手册常见问题产品生命周期通告软件升级北京九游老哥公益基金会鲲鹏基金产品清静软件升级

返回列表

Computrace是非一线间，组合威胁渐现江湖

2019-06-05

宣布者：九游老哥科技

1因由

克日，《关于Absolute公司防盗追踪软件清静危害的提醒》的文章在互联网上广为撒播，引起了公共对该软件的讨论，其中文章所指就是由Absolute公司开发的防盗追踪软件LoJack for Laptops也称作Computrace，该软件包括远程锁定，删除文件以及在地图上找到被盗条记本电脑的功效。着实早在2009年最先Computrace的清静问题就已经袒露在公共的视野之中，现在让我们往返首一下整个事务。

九游老哥·(中国)俱乐部官方网站

图1事务时间线

从上图可以看出整个事务横跨十年，可谓历时久远，并且多次在国际清静聚会中被提及，这也说明晰Computrace软件保存着严重清静危害，是清静领域关注的重点之一。近年报告显示，此软件疑为被APT28组织使用，成为其举行APT攻击的利器，爆发严重隐患。

让我们来细数Computrace软件保存的隐患，以及保存的攻击面。

2威胁攻击面剖析

2.1 Computrace事情原理

凭证2014年BlackHat宣布的研究效果显示，Computrace保存于盘算机的BIOS的ROM中，其功效是否激活在BIOS清静选项中可以设置。激活状态下的Computrace的事情流程可以分为四个阶段:

第一阶段，Computrace保存于BIOS启动历程中，Computrace会在文件系统中查找autocheck.exe文件并备份修改，或者修改修改硬盘驱动器的MBR，在系统启动的最初阶段控制电脑；

第二阶段，通过Windows NT 外地接口会见文件系统删除rpcnetp.exe，建设名为rpcnetp的新服务并修改注册表，最后恢复autocheck.exe；

第三阶段，rpcnetp.exe以服务方法启动，修改自身为dll文件，并加载到内存，建设子历程svchost.exe并挂起，并将dll注入到该历程。当svchost历程恢复时，将建设新的子历程iexplore.exe也挂起，同样将dll的注入到该历程，该历程恢复后，会毗连服务端获取新的下令和下载加密�？�wceprv.dll、升级�？�upgr.exe、主�？�rpcnet.exe以及其它�？�identprv.dll。最后删除之前的上一阶段建设的服务和rpcnetp.exe文件，并为rpcnet.exe注册和启动一个新服务；

第四阶段，rpcnet以服务方法启动会通过建设svchost历程等与上一阶段类似的方法毗连服务端，然后该服务会在注册表，文件系统和自身等位置查找设置，通过设置毗连远程服务端，对服务端提供可扩展的远程会见。

2.2 Computrace保存的隐患

1. BIOS常驻

凭证上面先容我们知道Computrace是保存于盘算机的BIOS之中，这是由硬件供应商直接写入的，保存于硬件之中。因此Computrace可以在操作系统中长存，即替换硬盘或更新重置操作系统依然可以继续保存。

2. 一连信息传输

Computrace默认设置开时机毗连一次服务端，之后在开机情形下每24小时会毗连一次，除非在服务端上修改这个的设置。

3. 未授权激活

凭证2014年卡巴斯基统计的信息，激活状态的Computrace凌驾200万，激活状态的Computrace笼罩了大部分的电脑品牌供应商。其中一些电脑品牌供应商的BIOS清静选项中的Computrace处于默认激活状态或者保存未授权激活的情形。BIOS中的设置选项只有一次改变的时机，更改后将无法再次更改。

2.3 可被使用的攻击面

Computrace除了上述自身保存的隐患之外，尚有保存着可被使用的攻击面，这些清静隐患在一些特殊场景中通过巧妙的组合使用，也会爆发重大的清静威胁：

1. 某品牌电脑不可被永世禁用
在offensivecon19大会，外洋研究职员akendo的研究效果批注，某品牌电脑上Computrace不可被永世禁用。在该品牌的电脑上，保存一个名为SecurityConfigs的结构体，内里生涯着其的相关清静设置这些设置包括Computrace的激活与禁用等设置。同时该品牌保存一个 ComputraceSmiService的SMI（System management interrupts）服务，通过此服务的回调函数就可以改变 Security Configs中的设置信息，从而改变Computrace的激活状态。虽然此功效保存密码�；せ�，但在此功效中使用的密钥是四个字节，而这四个字节接纳循环较量的方法举行密钥验证，可以凭证字节举行爆破，可以很快的完成破解。

当攻击者获得该品牌电脑的外地执行权限时，通过上述要领，可以确保该品牌电脑的Computrace一直处于激活状态。只管Absolute公司就激活状态问题曾多次揭晓声明称此软件是不保存清静问题的，可是关于该品牌的电脑，此问题依旧保存。

2. 被“白名单”

Core Security Technologies和卡巴斯基的研究员揭晓的研究效果中详细的先容了Computrace的事情机制。作为一款正当的追踪防盗软件，只管保存诸如注入其他历程的内存，建设神秘通讯等恶意软件常用的手艺，可是微软系统和众多杀毒软件供应商都差池Absolute公司的Computrace�？榈募觳�，而是仅仅将其标记为不清静，而不是标记恶意软件。

3. 数据明文传输

同样在2014 BlackHat中，外洋研究职员先容了2008版Computrace的流量协议名堂。其中流量接纳明文传输，没有使用任何的加密算法，只使用简朴的校验算法对数据的完整性举行简朴的校验，而校验的算法也一并果真。因此通过果真的协议名堂伪造传输数据和校验值，抵达改动通讯内容目的，这为中心人攻击提供了基础。

4. 设置可被改动

凭证上述先容的事情流程，我们可以知道Computrace会在注册表，文件系统和程序自身寻找设置信息，通过设置信息中存储的服务端域名信息，来毗连服务端。而设置中服务端的设置信息是接纳一个字节作为密钥的异或加密算法举行加密，因此攻击者可以很容易的破解并替换设置中的域名信息，将服务端的地点修改指向攻击者所控制的服务器，攻击者就可以很容易的控制受害者的电脑，从而执行恣意代码。

由于Computrace软件在盘算机的BIOS上保存未授权激活或不可被永世禁用，且有着自然的“白名单”和保存中心人攻击的基础，因此Computrace的清静问题可以将有用的工具酿成网络犯法分子的有力武器，并且恒久使用而不易被检测和察觉。

3核查

1. 通过BIOS核查：

Dell品牌盘算机重启后按F2即可计入BIOS，点开左边Serurity选项，审查其子选项Computrace，若是选项为Activate则体现Compurtace已经被激活，Deactive体现未激活，Disable表是禁用。其它品牌请在盘算机BIOS菜单中逐一筛查。

九游老哥·(中国)俱乐部官方网站

图2 Dell Inspiron 7560 BIOS选项(默认未激活)

2. 历程核查：

排查是否保存rpcnet.exe、rpcnetp.exe、rpcnet.dll、rpcnetp.dll等相关历程，若是保存则说明该软件正在运行。

4清静建议

1. 计划一，榨取软件运行

第一步：翻开注册表编辑器，请定位到：

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Manager

将右边的 BootExecute 键值（系统默以为autocheck autochk *）备份后删除掉，阻止该程序自动再启动后续历程。

第二步：在使命治理器中竣事相关历程，删除System32目录下的文件rpcnet.exe、rpcnetp.exe、rpcnet.dll、rpcnetp.dll，此时切勿重新启动Windows。

第三步：在System32目录下划分新建以上四个文件，文件内容为空，为每个文件执行如下操作：右键单击，翻开属性页，切换到“清静”选项卡，为列出的每个用户或组（包括SYSTEM）设置为拒绝“完全控制”。

2. 计划二，榨取该软件会见网络

修改host文件，将相关域名设置为榨取会见：记事本翻开C:WindowsSystem32driversetchosts文件，末行输入以下信息后生涯。

127.0.0.1 search.namequery.com

127.0.0.1 search.namequery.com

127.0.0.1 search2.namequery.com

127.0.0.1 search64.namequery.com

127.0.0.1 search.us.namequery.com

127.0.0.1 bh.namequery.com

127.0.0.1 namequery.nettrace.co.za

127.0.0.1 m229.absolute.com

并在防火墙软件中设置将rpcnet.exe、rpcnetp.exe 榨取会见网络。

3. 计划三：对应集团用户可以在防火墙或DNS服务器上屏障域名。

4. 其它计划：

除了上述通例解决计划榨取软件运行或阻挡网络请求之外，这里还提出一些其它的解决计划：

A) 替换操作系统为linux刊行版

B) 打电话给Abusolute客服

5总结

综上，此次事务中提到的Computrace主要是其历史2008版本中保存清静问题和隐患，主要是参考使用2014年blackhat大会上演讲所提到的研究效果，新版本暂未发明新的误差清静威胁。

网络清静威胁潜在于我们一样平常生涯中的许多环节，差别于广为关注的0day，Abusolute软件具备的白使用特征，保存可能挟制的条件，这就像一个自然保存的后门，这类非0day组合威胁往往被人所忽视，而这极有可能是未来威胁捕获与发明的重点之一。

6参考

https://www.blackhat.com/docs/us-14/materials/us-14-Kamluk-Computrace-Backdoor-Revisited-WP.pdf

https://securelist.com/absolute-computrace-revisited/58278/

https://www.absolute.com/en/resources/faq/absolute-response-to-arbor-research

https://www.blackhat.com/presentations/bh-usa-09/ORTEGA/BHUSA09-Ortega-DeactivateRootkit-PAPER.pdf

http://itsecchina.com/web/xxk/ldxqById.tag?CNNVD=CNNVD-201805-407

http://news.kaspersky.com.cn/news2014/02n/140212.htm

https://www.netscout.com/blog/asert/lojack-becomes-double-agent

https://www.absolute.com/en/about/pressroom/press-releases/2009/absolute-refutes-claims-of-bios-vulnerability

<<上一篇

【预警通告】关于Absolute公司防盗追踪软件清静危害

>>下一篇

【威胁通告】微软宣布6月补丁修复93个清静问题

?

您的联系方法

购置热线

提交项目需求

接待加入九游老哥科技，成为我们的相助同伴！

*请形貌您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方法

*姓名
*联系电话
*邮箱
*职务
*公司
*都会
*行业
*验证码
提交到邮箱

九游老哥·(中国)俱乐部官方网站

九游老哥·(中国)俱乐部官方网站

服务支持

智能客服

智能客服

购置/售后手艺问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

点击进入

支持热线

支持热线

400-818-6868

九游老哥科技社区

九游老哥科技社区

资料下载|在线问答|手艺交流

点击进入

信息清静

网站地图| 执法声明| 投资者关系

关于九游老哥: 公司先容; 公司声誉; 九游老哥书橱; 九游老哥新闻; 事情时机

怎样购置: 提交项目需求; 请求回电; 购置热线

联系九游老哥: 公司总部; 分支机构; 全球分支机构

清廉建设和举报: 举报说明; 举报奖励; 包管制度

快速链接: 九游老哥云; 九游老哥威胁情报中心NTI; TechWorld手艺嘉年华; 北京九游老哥公益基金会; 手艺博客; 乐成案例

服务热线

400-818-6868

服务时间

7*24小时

? 2025 NSFOCUS 九游老哥科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证110355号