it-swarm-eu.dev

Rilevamento e rimozione della tecnologia di persistenza assoluta

Tecnologia di persistenza assoluta equivale a un rootkit persistente preinstallato da molti produttori di dispositivi (Acer, Asus, Dell, HP, Lenovo, Samsung, Toshiba, ecc.) Per facilitare - LoJack per laptop e altri servizi backdoor:

Il modulo di persistenza assoluta è stato creato per rilevare quando gli agenti software Computrace e/o Absolute Manage sono stati rimossi, assicurando che vengano reinstallati automaticamente, anche se il firmware è flashato, il dispositivo viene ripreso, il disco rigido viene sostituito o se un tablet o uno smartphone vengono puliti alle impostazioni di fabbrica.

La tecnologia di persistenza assoluta è integrata nel BIOS o nel firmware di un dispositivo durante il processo di fabbricazione.

Questo ha echi di entrambi Rakshasa e vPro .

Inoltre, come altri rootkit aziendali , aumenta la superficie di attacco disponibile sul PC host e quindi apre le porte a malware aggiuntivo :

Il protocollo utilizzato da Small Agent fornisce la funzionalità di base dell'esecuzione di codice in modalità remota [e] crea numerose opportunità per attacchi remoti in un ambiente di rete ostile. ... Un tipico attacco a una rete locale sarebbe il reindirizzamento di tutto il traffico da un computer che esegue Small Agent all'Host dell'attaccante tramite avvelenamento da ARP. Un'altra possibilità è quella di utilizzare un attacco del servizio DNS per indurre l'agente a connettersi a un falso server C&C. Riteniamo che ci siano altri modi per realizzare tali attacchi, sebbene ciò esuli dallo scopo della ricerca attuale.

Se un utente legalmente acquisti, di seconda mano o nuovi, un dispositivo che originariamente aveva incorporato la tecnologia di persistenza assoluta e potrebbe anche averlo attivato e desidera:

  • per rilevare se la tecnologia è ancora presente nel dispositivo; e, in tal caso,
  • per rimuovere quella tecnologia dal dispositivo (ovvero disinfettare il dispositivo),

qual è la soluzione migliore per l'utente?

Immagino che Coreboot sia parte della risposta.

19
sampablokuper

L'unico modo che conosco è contattare Software assoluto e richiedere la rimozione dell'agente. Sono abbastanza amichevoli, chiederanno alcune informazioni identificative sul laptop, quindi invieranno un messaggio al proprietario originale e chiederanno se lo hanno venduto o se ne sono sbarazzate (immagino).

Ho aspettato nell'ordine di sei mesi la risoluzione finale, ho appena ricevuto il mio messaggio. Ecco come appare:

L'agente è stato rimosso dal dispositivo XXXXXXXX, assicurarsi che il dispositivo sia connesso a una rete cablata, che deve disporre di Windows O.S. installato, eseguire alcuni riavvii e attendere 24,5 ore per completare l'intero processo. Fateci sapere se avete bisogno di ulteriore assistenza.

2
Morgan

Potresti, come ho fatto io, scrivere un servizio di Windows che carica all'inizio dell'ordine di avvio di Windows, nel mio caso prima del servizio di rete, e attende il caricamento del servizio iniettato dal modulo apm. Una volta rilevato, arresterà il servizio apm ed eliminerà il file dei servizi. Ho mantenuto il servizio attivo in background nel caso in cui il modulo apm potesse in qualche modo reiniettare ed eseguire il servizio apm.

Questo metodo ha funzionato con il mio compagno di viaggio Acer dal 2012, forse le cose sono andate avanti da allora.

1
Rich

"La tecnologia di persistenza assoluta è integrata nel BIOS o nel firmware di un dispositivo durante il processo di produzione."

Pertanto, oltre a rimuovere l'agente, sarà necessario eseguire il flashing del BIOS o del firmware del dispositivo, con una versione senza tecnologia.

Poiché "core boot è un progetto di software libero volto a sostituire il BIOS proprietario (firmware) presente nella maggior parte dei computer", fa potenzialmente parte di una risposta.

Naturalmente, non hai specificato un dispositivo, quindi è impossibile fornirti una risposta dettagliata. L'unica risposta corretta è "dipende".

La funzionalità della tecnologia richiede che rimuoverla rimanga impossibile, quindi la sua qualità/reputazione dipende dal fatto che non siamo in grado di fornirti una risposta dettagliata.

Non è davvero una tecnologia, ma molte; rivedere la tecnologia ANT della NSA con il nome in codice DEITYBOUNCE, IRONCHEF, FEEDTROUGH, GOURMETTROUGH, ecc .; vedi https://commons.wikimedia.org/wiki/Category:NSA_ANT ...

1
Matthew Elvey

Ho raggiunto il supporto tecnico di Absolute Software al numero fornito e gli ho dato il numero di serie del PC. Mi disse che i loro registri dicevano che Computrace era stato disabilitato dal proprietario originale del PC 5 anni fa, tuttavia non c'è nulla che Absolute Software possa fare per aiutare, che la mia unica risorsa è vedere l'acquisto di una scheda madre sostitutiva dal produttore.

Secondo le FAQ:

Cosa succede se l'agente software Absolute deve essere rimosso da un dispositivo?

Gli amministratori IT che sono stati autorizzati a farlo, possono svolgere questa funzione da soli all'interno del Centro clienti Absolute per Computrace o dalla console Absolute Manage per la rimozione dell'agente software Absolute Manage.

Cioè devi consentire l'installazione di CompuTrace, convincere Absolute di essere l'utente autorizzato ora, ottenere il controllo trasferito a te e disattivarlo utilizzando il loro servizio gestito.

Ciò comporterà sicuramente l'invio di denaro.

Immagino che CompuTrace verrà rilevato da qualsiasi antivirus competente come "software di gestione remota" che probabilmente è possibile contrassegnare per non eseguirlo.

0
Ben