来自 BIOS 的幽灵 合法木马 防盗软件 Computrace rpcnetp.exe

2015-01-24 21:09:52 +08:00
 yksoft1

https://www.blackhat.com/presentations/bh-usa-09/ORTEGA/BHUSA09-Ortega-DeactivateRootkit-PAPER.pdf
http://corelabs.coresecurity.com/index.php?module=Wiki&action=attachment&type=publication&page=Deactivate_the_Rootkit_%28ekoparty_edition%29&file=Slides-Deactivate-the-rootkit-Sacco-Aortega-Ekoparty.pdf
http://securityaffairs.co/wordpress/22201/security/faq-absolute-computrace-case-security-vulnerability-claims.html
http://securelist.com/analysis/publications/58278/absolute-computrace-revisited/

这玩艺是一个被制造商安装于2004年之后很多笔记本电脑的BIOS中的防盗监视软件,虽然用途是合法的,但是其使用明文和服务器通信,而且能干的事情很多,随时可能被劫持。
BIOS在启动时,如果满足某个条件(如BIOS中开启了Computrace功能)等,就会启动Computrace的Option ROM,它会自动识别硬盘中的FAT/FAT32/NTFS文件系统,查找Windows的Autochk.exe,将其修改加入自己的安装程序;在Windows启动的时候,修改过的Autochk.exe会在Windows中安装Computrace的主服务rpcnetp.exe等。
rpcnetp.exe在系统中运行时,会将自己的副本rpcnetp.dll注入到IE的进程中,并试图与其开发商进行通信。但是这时候问题就来了:由于Computrace的本体位于BIOS中,它不是那么容易被升级的。因此其通信协议设计得比较复杂,而且可以进行像分配内存、GetProcAddress、LoadLibrary、甚至调用函数的操作,但却没有任何验证服务器合法性的流程。这样一旦黑客劫持了对Computrace服务器的访问,就完全可以利用它来执行任意代码。而且正因为其不能被升级,只要用户仍在有意或无意地使用Computrace,这个漏洞将永久存在于用户的机器上。
虽然其开发者明确提出这个东西不会默认开启,但确实有一些机器默认开启了它,而且用户误将其开启后,就非常难以关闭甚至不可能关闭。很多情况下,它位于BIOS中不会被刷写工具刷写的偏移处,因此就算是刷新BIOS,也不能将其移除。
国内似乎有一些笔记本论坛上早已有人注意到此话题,但没有人能提出能根本解决此问题的方案。

13537 次点击
所在节点    分享发现
44 条回复
loading
2015-01-24 22:10:44 +08:00
@vibbow 好吧,还是直接去黑服务器吧……
Luzifer
2015-01-24 22:41:35 +08:00
不明觉厉!

赞同 @yksoft1 , 即使是小概率事件,也不能忽略黑天鹅的存在。
yksoft1
2015-01-24 22:48:03 +08:00
@loading Absolute作为一家CA的公司,我感觉面对美国的Secret service要黑谁的要求也很难完全拒绝吧。。。
vibbow
2015-01-24 23:10:34 +08:00
@yksoft1 貌似找Microsoft更简单些......
kacong
2015-01-25 00:10:44 +08:00
确实有可能的漏洞,一般我拿到机器,直接进bios,永久禁用这个的。
zxtasa
2015-01-25 00:12:56 +08:00
直接污染域名就能劫持了
zxtasa
2015-01-25 00:15:09 +08:00
@kacong 有的主板这东西关不掉吧
lxrabbit
2015-01-25 00:23:47 +08:00
怕的话BIOS里面关闭就是了
lxrabbit
2015-01-25 00:38:46 +08:00
也是可以从操作系统层面解决的

Computrace can be stopped: Do the following:

1) START>SETTINGS>CONTROL PANEL> ADMINISTRATIVE TOOLS> SERVICES> find RPC ( Remote Procedure Call ) NET and/or Service. Right click and Properties, set to Automatic and stop the serive.

2) C:\WINDOWS\SYSTEM 32\ Find these 4 files RPCNET.dll + RPCNETP.DLL + RPCNET.EXE + RPCNETP.EXE ( Do the following to each file )

3) Delete each file. DO NOT REBOOT. Open WORD PAD. Type and "Save As" ( without quotes ). Name the file as the one it will replace above. Do this for all 4 files. Once they are all replaced with the "VOID" (bogus file ) Right click on each file and change the attribute to READ ONLY > APPLY > OK.

To check and make sure it has worked, reboot your machine. Go to Services and check your RPC process and see if it has re started. If it restarted then you did something wrong with the above files, retry and reboot and recheck. Remember, if you delete one or all the files without stopping the service the files WILL come back automatically. Also you will not be able to delete RPCNET.exe if the service IS started. It must be done in the order above.

I know this works because i've tested it. Keep in mind, even with the above done correctly Computrace WILL still show in BIOS but will pretty much be a dummy computrace.
ideacco
2015-01-25 01:01:11 +08:00
高人出现
@lxrabbit
lxrabbit
2015-01-25 01:31:41 +08:00
@ideacco 我是发现联想的笔记本一些型号也有这个,所以多搜了一下,好在我自己的机器没这东西,原文
http://forum.51nb.com/thread-1027737-1-1.html
qazplkm
2015-01-25 01:38:29 +08:00
@lxrabbit
我看了一下,至少在win10上,在第一步之前,还要先改注册表里这个服务对应项目的所有者权限。否则以administrator是无法关闭此服务的。
mug
2015-01-25 01:53:16 +08:00
http://bbs.mydigit.cn/read.php?tid=272908
这里有解决方法了。
bumz
2015-01-25 02:05:06 +08:00
以前用 windows 的時候早就注意到這個 rpcnetp.exe 了,後來被我用鏡像劫持等大法幹掉了好像。
yksoft1
2015-01-25 02:16:06 +08:00
@lxrabbit 斩草要除根,不管用什么别的办法,包括屏蔽文件生成,屏蔽文件修改,使用TC之类Computrace不支持的特殊卷,都不能把BIOS里面那个部分干掉,不是完整方案。
yksoft1
2015-01-25 02:18:49 +08:00
@mug 这就是我前面回复里说的用破DELL笔记本BIOS密码的工具包破这玩艺的办法。不过唯一彻底的解决办法只能是彻底去掉BIOS里这个模块,这很可能要牵涉到运用编程器
我感觉很多所谓的安全措施在对方有芯片级调试和维修的能力的状态下都不能完全保证安全,iPhone的板机、妖机就是个典型的例子
ChangeTheWorld
2015-01-25 11:30:03 +08:00
金坷垃大大的科普文,以前也碰到过,从来没往这方面想
jsq2627
2015-01-25 13:49:26 +08:00
@lxrabbit 这个东西在BIOS里开启后就无法关闭了。首次开启的时候会有警告说开启以后无法关闭。
DELL的高端笔记本里都预装这个程序了,有时候在设置BIOS的时候会一不小心把这个选项打开。
我之前不小心打开了,不过因为另一个问题联系售后换了主板,顺便把这个问题解决了。
rainysia
2015-01-25 13:58:48 +08:00
thinkpad美行商务机的必备垃圾玩意儿..
lxrabbit
2015-01-25 15:06:12 +08:00
@yksoft1 随随便便就能匹配任意一种BIOS ROM,你这程序做出来造病毒的要笑翻了吧

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/165122

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX