V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
yksoft1
V2EX  ›  分享发现

来自 BIOS 的幽灵 合法木马 防盗软件 Computrace rpcnetp.exe

  •  1
     
  •   yksoft1 · 2015-01-24 21:09:52 +08:00 · 13799 次点击
    这是一个创建于 3590 天前的主题,其中的信息可能已经有所发展或是发生改变。

    https://www.blackhat.com/presentations/bh-usa-09/ORTEGA/BHUSA09-Ortega-DeactivateRootkit-PAPER.pdf
    http://corelabs.coresecurity.com/index.php?module=Wiki&action=attachment&type=publication&page=Deactivate_the_Rootkit_%28ekoparty_edition%29&file=Slides-Deactivate-the-rootkit-Sacco-Aortega-Ekoparty.pdf
    http://securityaffairs.co/wordpress/22201/security/faq-absolute-computrace-case-security-vulnerability-claims.html
    http://securelist.com/analysis/publications/58278/absolute-computrace-revisited/

    这玩艺是一个被制造商安装于2004年之后很多笔记本电脑的BIOS中的防盗监视软件,虽然用途是合法的,但是其使用明文和服务器通信,而且能干的事情很多,随时可能被劫持。
    BIOS在启动时,如果满足某个条件(如BIOS中开启了Computrace功能)等,就会启动Computrace的Option ROM,它会自动识别硬盘中的FAT/FAT32/NTFS文件系统,查找Windows的Autochk.exe,将其修改加入自己的安装程序;在Windows启动的时候,修改过的Autochk.exe会在Windows中安装Computrace的主服务rpcnetp.exe等。
    rpcnetp.exe在系统中运行时,会将自己的副本rpcnetp.dll注入到IE的进程中,并试图与其开发商进行通信。但是这时候问题就来了:由于Computrace的本体位于BIOS中,它不是那么容易被升级的。因此其通信协议设计得比较复杂,而且可以进行像分配内存、GetProcAddress、LoadLibrary、甚至调用函数的操作,但却没有任何验证服务器合法性的流程。这样一旦黑客劫持了对Computrace服务器的访问,就完全可以利用它来执行任意代码。而且正因为其不能被升级,只要用户仍在有意或无意地使用Computrace,这个漏洞将永久存在于用户的机器上。
    虽然其开发者明确提出这个东西不会默认开启,但确实有一些机器默认开启了它,而且用户误将其开启后,就非常难以关闭甚至不可能关闭。很多情况下,它位于BIOS中不会被刷写工具刷写的偏移处,因此就算是刷新BIOS,也不能将其移除。
    国内似乎有一些笔记本论坛上早已有人注意到此话题,但没有人能提出能根本解决此问题的方案。

    44 条回复    2019-06-17 23:31:50 +08:00
    lingo233
        1
    lingo233  
       2015-01-24 21:13:48 +08:00 via Android
    更像厂商要逼你们这群XP+老爷机党换代,来投奔我大UEFI吧
    yksoft1
        2
    yksoft1  
    OP
       2015-01-24 21:20:42 +08:00
    @lingo233 这个软件有UEFI版。
    lingo233
        3
    lingo233  
       2015-01-24 21:24:08 +08:00 via Android
    @yksoft1 现在的新板子都能像安卓一样刷刷刷,应该问题不大😁
    yksoft1
        4
    yksoft1  
    OP
       2015-01-24 21:28:31 +08:00
    @lingo233 文章说得很清楚,Computrace放在不会被官方刷BIOS的程序更新的位置,要刷掉它只能焊下来用编程器。
    vibbow
        5
    vibbow  
       2015-01-24 21:30:06 +08:00   ❤️ 2
    我购买了这个服务的。
    想关闭很简单,找Dell换块主板就行了(还得格式化硬盘,否则硬盘里存在的agent会自动激活新主板)

    其实还挺好用的...
    https://pic.vsean.net/di/5X00/QQ截图20150124132945.png
    yksoft1
        6
    yksoft1  
    OP
       2015-01-24 21:33:22 +08:00
    @vibbow 真正华强北技术武装的窃贼直接上编程器了。原硬盘直接进入配件市场
    xbb7766
        7
    xbb7766  
       2015-01-24 21:34:41 +08:00
    貌似只会对win下手,如果换成linux应该就没辙了吧。不过现在品牌机有的UEFI好像linux都不能装。
    yksoft1
        8
    yksoft1  
    OP
       2015-01-24 21:34:52 +08:00
    @vibbow 另外貌似DELL用来解BIOS密码的工具包也能把这个东西强制重置
    vibbow
        9
    vibbow  
       2015-01-24 21:37:12 +08:00
    @yksoft1 这类软件的初衷,并不是完全的为了防盗。
    而是数据安全。

    我电脑要是安全功能全部开启的话,效果就是:

    Computrace负责追踪/远程擦除
    BitLocker负责加密硬盘
    TPM保存BitLocker密钥
    非接触式智能卡负责登陆Windows
    vibbow
        10
    vibbow  
       2015-01-24 21:38:12 +08:00
    @yksoft1 Computrace的企业版本,还有电子栅栏之类的功能,比如说当电脑超出了一定范围后自动给管理员报警。
    vibbow
        11
    vibbow  
       2015-01-24 21:39:24 +08:00
    @yksoft1 而且Computrace个人版,是有保险选项的,找不回来的话最高赔偿1000刀(好像远远不够啊...)
    lingo233
        12
    lingo233  
       2015-01-24 21:39:56 +08:00
    @yksoft1 纯uefi已经没有bios了吧,而且他们的机制是不同的。我看了下章节标题没发现有提UEFI啊,不是很懂@_@
    yksoft1
        13
    yksoft1  
    OP
       2015-01-24 21:40:57 +08:00
    @vibbow 确实,重要的数据远比机器本体重要。但是我感觉本地数据安全无论如何都难以保证
    比如这个Computrace,如果真被黑客盯上,劫持了这玩艺的通信协议,那你的后三者就全部失效,毕竟Computrace的本体运行的时候,系统已经登录,文件系统已经挂载。
    vibbow
        14
    vibbow  
       2015-01-24 21:43:28 +08:00
    @yksoft1 Computrace不是创建长连接的。
    默认情况下是开机连一次,然后每24小时连一次
    除非你在服务端设置了其他的连接频率。
    yksoft1
        15
    yksoft1  
    OP
       2015-01-24 21:49:32 +08:00
    @vibbow 如果你在外出差的时候被黑客盯上,在你使用的路由器之类上做点手脚,那么一开机的那次连接也不安全了。
    vibbow
        16
    vibbow  
       2015-01-24 21:51:57 +08:00
    @yksoft1 Computrace这么小众的玩意,一般没人去盯的。
    而且谁知道Computrace有什么漏洞呢,我看了一眼,我电脑上的agent数字签名是去年5月的。
    vibbow
        17
    vibbow  
       2015-01-24 21:52:26 +08:00
    @yksoft1 盯迅雷啊,QQ啊,360啊之类的都比Computrace来的方便。
    yksoft1
        18
    yksoft1  
    OP
       2015-01-24 21:54:08 +08:00
    @vibbow 如果你电脑里的数据是像NSA,蓝翔等感兴趣的,再小众也要被攻击。
    loading
        19
    loading  
       2015-01-24 22:01:16 +08:00 via Android
    就算有服务器校验合法性的代码,伪造一个合法的服务器也不太难,中间人!
    vibbow
        20
    vibbow  
       2015-01-24 22:05:31 +08:00
    @loading 双向SSL认证,伪造吧。
    loading
        21
    loading  
       2015-01-24 22:10:44 +08:00 via Android
    @vibbow 好吧,还是直接去黑服务器吧……
    Luzifer
        22
    Luzifer  
       2015-01-24 22:41:35 +08:00
    不明觉厉!

    赞同 @yksoft1 , 即使是小概率事件,也不能忽略黑天鹅的存在。
    yksoft1
        23
    yksoft1  
    OP
       2015-01-24 22:48:03 +08:00
    @loading Absolute作为一家CA的公司,我感觉面对美国的Secret service要黑谁的要求也很难完全拒绝吧。。。
    vibbow
        24
    vibbow  
       2015-01-24 23:10:34 +08:00
    @yksoft1 貌似找Microsoft更简单些......
    kacong
        25
    kacong  
       2015-01-25 00:10:44 +08:00
    确实有可能的漏洞,一般我拿到机器,直接进bios,永久禁用这个的。
    zxtasa
        26
    zxtasa  
       2015-01-25 00:12:56 +08:00
    直接污染域名就能劫持了
    zxtasa
        27
    zxtasa  
       2015-01-25 00:15:09 +08:00
    @kacong 有的主板这东西关不掉吧
    lxrabbit
        28
    lxrabbit  
       2015-01-25 00:23:47 +08:00
    怕的话BIOS里面关闭就是了
    lxrabbit
        29
    lxrabbit  
       2015-01-25 00:38:46 +08:00
    也是可以从操作系统层面解决的

    Computrace can be stopped: Do the following:

    1) START>SETTINGS>CONTROL PANEL> ADMINISTRATIVE TOOLS> SERVICES> find RPC ( Remote Procedure Call ) NET and/or Service. Right click and Properties, set to Automatic and stop the serive.

    2) C:\WINDOWS\SYSTEM 32\ Find these 4 files RPCNET.dll + RPCNETP.DLL + RPCNET.EXE + RPCNETP.EXE ( Do the following to each file )

    3) Delete each file. DO NOT REBOOT. Open WORD PAD. Type and "Save As" ( without quotes ). Name the file as the one it will replace above. Do this for all 4 files. Once they are all replaced with the "VOID" (bogus file ) Right click on each file and change the attribute to READ ONLY > APPLY > OK.

    To check and make sure it has worked, reboot your machine. Go to Services and check your RPC process and see if it has re started. If it restarted then you did something wrong with the above files, retry and reboot and recheck. Remember, if you delete one or all the files without stopping the service the files WILL come back automatically. Also you will not be able to delete RPCNET.exe if the service IS started. It must be done in the order above.

    I know this works because i've tested it. Keep in mind, even with the above done correctly Computrace WILL still show in BIOS but will pretty much be a dummy computrace.
    ideacco
        30
    ideacco  
       2015-01-25 01:01:11 +08:00
    高人出现
    @lxrabbit
    lxrabbit
        31
    lxrabbit  
       2015-01-25 01:31:41 +08:00
    @ideacco 我是发现联想的笔记本一些型号也有这个,所以多搜了一下,好在我自己的机器没这东西,原文
    http://forum.51nb.com/thread-1027737-1-1.html
    qazplkm
        32
    qazplkm  
       2015-01-25 01:38:29 +08:00
    @lxrabbit
    我看了一下,至少在win10上,在第一步之前,还要先改注册表里这个服务对应项目的所有者权限。否则以administrator是无法关闭此服务的。
    mug
        33
    mug  
       2015-01-25 01:53:16 +08:00
    bumz
        34
    bumz  
       2015-01-25 02:05:06 +08:00
    以前用 windows 的時候早就注意到這個 rpcnetp.exe 了,後來被我用鏡像劫持等大法幹掉了好像。
    yksoft1
        35
    yksoft1  
    OP
       2015-01-25 02:16:06 +08:00   ❤️ 1
    @lxrabbit 斩草要除根,不管用什么别的办法,包括屏蔽文件生成,屏蔽文件修改,使用TC之类Computrace不支持的特殊卷,都不能把BIOS里面那个部分干掉,不是完整方案。
    yksoft1
        36
    yksoft1  
    OP
       2015-01-25 02:18:49 +08:00
    @mug 这就是我前面回复里说的用破DELL笔记本BIOS密码的工具包破这玩艺的办法。不过唯一彻底的解决办法只能是彻底去掉BIOS里这个模块,这很可能要牵涉到运用编程器
    我感觉很多所谓的安全措施在对方有芯片级调试和维修的能力的状态下都不能完全保证安全,iPhone的板机、妖机就是个典型的例子
    ChangeTheWorld
        37
    ChangeTheWorld  
       2015-01-25 11:30:03 +08:00
    金坷垃大大的科普文,以前也碰到过,从来没往这方面想
    jsq2627
        38
    jsq2627  
       2015-01-25 13:49:26 +08:00
    @lxrabbit 这个东西在BIOS里开启后就无法关闭了。首次开启的时候会有警告说开启以后无法关闭。
    DELL的高端笔记本里都预装这个程序了,有时候在设置BIOS的时候会一不小心把这个选项打开。
    我之前不小心打开了,不过因为另一个问题联系售后换了主板,顺便把这个问题解决了。
    rainysia
        39
    rainysia  
       2015-01-25 13:58:48 +08:00   ❤️ 1
    thinkpad美行商务机的必备垃圾玩意儿..
    lxrabbit
        40
    lxrabbit  
       2015-01-25 15:06:12 +08:00
    @yksoft1 随随便便就能匹配任意一种BIOS ROM,你这程序做出来造病毒的要笑翻了吧
    yksoft1
        41
    yksoft1  
    OP
       2015-01-25 15:50:08 +08:00
    @lxrabbit 没说一个程序能匹配所有装备了这个玩艺的BIOS。DELL的那个方法只是因为DELL改写NVRAM的工具被人搞了出来,它既能破解BIOS密码,也能用来把Computrace的基本设置复位。
    cYcoco
        42
    cYcoco  
       2015-01-25 16:12:30 +08:00
    我觉得如果真的被人盯上 除非你不用电脑 。不然不可能全部防范住。楼上好多几十E身价吧。。那么担心
    XiaoXiaoNiWa
        43
    XiaoXiaoNiWa  
       2019-06-01 01:58:40 +08:00 via Android
    挖个坟。这玩意挺玄乎。
    wql
        44
    wql  
       2019-06-17 23:31:50 +08:00
    今天网络应急中心对此发出了警示。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   904 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 37ms · UTC 21:45 · PVG 05:45 · LAX 13:45 · JFK 16:45
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.