Chiar si programele legitime pot deveni malware

Echipa de cercetare a Kaspersky Lab a publicat un raport care confirma – si demonstreaza – ca instalarea incorecta a software-ului anti-furt comercializat de Absolute Software poate transforma un program de altfel foarte folositor, intr-un instrument util si puternic pentru infractorii cibernetici.

Fara vreun semnal vizibil, instalarea defectuoasa ofera atacatorilor acces nelimitat la milioane de computere ale utilizatorilor. Punctul de interes al cercetarii a fost agentul Absolute Computrace care se afla in firmware-ul sau in BIOS-ul laptopurilor si desktopurilor moderne.

Principalul motiv care a stat la baza demararii acestui proiect de cercetare a fost descoperirea faptului ca agentul Computrace rula pe mai multe computere personale si de serviciu ale cercetatorilor Kaspersky Lab, fara autorizare prealabila. Desi Computrace este un software legitim, dezvoltat de Absolute Software, unii proprietari ai sistemelor au afirmat ca nu instalasera, nu activasera si nici nu stiusera despre existenta acestuia pe dispozitivele lor. Cele mai multe pachete software traditionale pre-instalate pot fi dezactivate sau sterse definitiv de catre utilizator, insa Computrace este proiectat sa ramana in sistem, chiar dupa curatarea profesionala si chiar si dupa inlocuirea hard disk-ului.

Un utilizator poate identifica in mod eronat Computrace ca program cu componenta malware, deoarece acesta foloseste la fel de multe „trucuri” ca programele malware moderne: tehnici de inginerie anti-reverse si anti-depanare, introducerea in memorie a altor procese, stabilirea de comunicari ascunse, aplicarea pachetelor de corectie fisierelor de sistem de pe disc, pastrarea criptarii fisierelor de configurare si lansarea unui executabil pentru Windows direct din BIOS/firmware.

“Actorii puternici, cu capacitatea de a opera interceptari de pe fibra optica, au capacitatea de a deturna computerele care ruleaza Absolute Computrace”, a avertizat Vitaly Kamluk, Principal Security Researcher, Global Research and Analysis Team in cadrul Kaspersky Lab. „Acest software poate fi folosit pentru a implementa fisiere spyware. Estimarea noastra este ca milioane de computere ruleaza software-ul Absolute Computrace și un numar mare de utilizatori ar putea sa nu fie constienti ca acest software-ul este activat. Cine a avut un motiv pentru a activa Computrace pe toate computerele? Sunt acestea monitorizate de un actor necunoscut? Ramane un mister care trebuie rezolvat,” a completat Vitaly Kamluk.

Statistici:

• Potrivit Kaspersky Security Network, exista aproximativ 150.000 de utilizatori pe ale caror computere ruleaza agentul Computrace. Numarul total estimat de computere cu agentul Computrace activ poate depași 2 milioane. Nu este clar cati dintre utilizatori stiu despre existenta Computrace in sistemele lor.

• Cea mai mare parte a acestor computere sunt situate in Statele Unite si in Rusia.

Brese de securitate

Protocolul de retea utilizat de catre Computrace Small Agent asigura functii de baza pentru executarea de la distanța a codului. Protocolul nu necesita niciun tip de criptare sau autentificare a serverului de la distanța, fapt ce creeaza multe oportunitati pentru atacuri de la distanta intr-un mediu de retea ostil.

O platforma de atac

Nu exista nici o dovada ca Absolute Computrace este utilizat ca o platforma pentru atacuri. Cu toate acestea, expertii din cadrul mai multor companii au identificat posibilitatea unor atacuri. Unele cazuri alarmante si inexplicabile de activari neautorizate ale Computrace fac acest scenariu din ce in ce mai plauzibil.

In 2009, cercetatorii de la Core Security Technologies au prezentat descoperirile lor cu privire la Absolute Computrace. Ei au lansat la momentul respectiv un avertisment cu privire la pericolele pe care le presupune aceasta tehnologie si modul in care un atacator ar putea modifica registrele din sistem pentru a deturna callback-urile din Computrace. Comportamentul agresiv al Agentului Computrace a fost unul dintre motivele pentru care acesta a fost detectat ca malware in trecut. Potrivit unor observatii, Computrace a fost detectat de Microsoft ca VirTool: Win32/BeeInject. Cu toate acestea, identificarea a fost ignorata ulterior de catre Microsoft si de catre unele companii anti-malware. Executabilele Computrace sunt in prezent pe lista de programe legitime (whitelisted) a celor mai multe companii anti-malware.

„Un astfel de instrument puternic cum este software-ul Absolute Computrace trebuie sa utilizeze mecanisme de autentificare si criptare pentru a continua sa fie benefic. Este clar ca, daca exista o multime de computere cu agenti Computrace functionali, este responsabilitatea producatorului (in acest caz, Absolute Software) de a notifica utilizatorii si de a explica modul in care software-ul poate fi dezactivat. In caz contrar, acesti agenti vor continua sa ruleze neobservati si sa ofere o posibilitate de exploatare de la distanta”, a explicat Kamluk.

Pentru a citi raportul complet, care cuprinde o descriere detaliata a operatiunilor Absolute Computrace Agent, vizitati Securelist.

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

Leave a Reply