来自 BIOS 的幽灵 合法木马 防盗软件 Computrace rpcnetp.exe
yksoft1 · 2015-01-24 21:09:52 +08:00 · 13504 次点击这是一个创建于 3379 天前的主题,其中的信息可能已经有所发展或是发生改变。
https://www.blackhat.com/presentations/bh-usa-09/ORTEGA/BHUSA09-Ortega-DeactivateRootkit-PAPER.pdf
http://corelabs.coresecurity.com/index.php?module=Wiki&action=attachment&type=publication&page=Deactivate_the_Rootkit_%28ekoparty_edition%29&file=Slides-Deactivate-the-rootkit-Sacco-Aortega-Ekoparty.pdf
http://securityaffairs.co/wordpress/22201/security/faq-absolute-computrace-case-security-vulnerability-claims.html
http://securelist.com/analysis/publications/58278/absolute-computrace-revisited/
这玩艺是一个被制造商安装于2004年之后很多笔记本电脑的BIOS中的防盗监视软件,虽然用途是合法的,但是其使用明文和服务器通信,而且能干的事情很多,随时可能被劫持。
BIOS在启动时,如果满足某个条件(如BIOS中开启了Computrace功能)等,就会启动Computrace的Option ROM,它会自动识别硬盘中的FAT/FAT32/NTFS文件系统,查找Windows的Autochk.exe,将其修改加入自己的安装程序;在Windows启动的时候,修改过的Autochk.exe会在Windows中安装Computrace的主服务rpcnetp.exe等。
rpcnetp.exe在系统中运行时,会将自己的副本rpcnetp.dll注入到IE的进程中,并试图与其开发商进行通信。但是这时候问题就来了:由于Computrace的本体位于BIOS中,它不是那么容易被升级的。因此其通信协议设计得比较复杂,而且可以进行像分配内存、GetProcAddress、LoadLibrary、甚至调用函数的操作,但却没有任何验证服务器合法性的流程。这样一旦黑客劫持了对Computrace服务器的访问,就完全可以利用它来执行任意代码。而且正因为其不能被升级,只要用户仍在有意或无意地使用Computrace,这个漏洞将永久存在于用户的机器上。
虽然其开发者明确提出这个东西不会默认开启,但确实有一些机器默认开启了它,而且用户误将其开启后,就非常难以关闭甚至不可能关闭。很多情况下,它位于BIOS中不会被刷写工具刷写的偏移处,因此就算是刷新BIOS,也不能将其移除。
国内似乎有一些笔记本论坛上早已有人注意到此话题,但没有人能提出能根本解决此问题的方案。
44 条回复 • 2019-06-17 23:31:50 +08:00
 |
1
lingo233 2015-01-24 21:13:48 +08:00 via Android
更像厂商要逼你们这群XP+老爷机党换代,来投奔我大UEFI吧
|
 |
4
yksoft1 OP @lingo233 文章说得很清楚,Computrace放在不会被官方刷BIOS的程序更新的位置,要刷掉它只能焊下来用编程器。
|
 |
5
vibbow 2015-01-24 21:30:06 +08:00  2
我购买了这个服务的。
想关闭很简单,找Dell换块主板就行了(还得格式化硬盘,否则硬盘里存在的agent会自动激活新主板) 其实还挺好用的... https://pic.vsean.net/di/5X00/QQ截图20150124132945.png |
 |
7
xbb7766 2015-01-24 21:34:41 +08:00
貌似只会对win下手,如果换成linux应该就没辙了吧。不过现在品牌机有的UEFI好像linux都不能装。
|
|
9
vibbow 2015-01-24 21:37:12 +08:00
@yksoft1 这类软件的初衷,并不是完全的为了防盗。
而是数据安全。 我电脑要是安全功能全部开启的话,效果就是: Computrace负责追踪/远程擦除 BitLocker负责加密硬盘 TPM保存BitLocker密钥 非接触式智能卡负责登陆Windows |
|
12
lingo233 2015-01-24 21:39:56 +08:00
|
|
13
yksoft1 OP @vibbow 确实,重要的数据远比机器本体重要。但是我感觉本地数据安全无论如何都难以保证
比如这个Computrace,如果真被黑客盯上,劫持了这玩艺的通信协议,那你的后三者就全部失效,毕竟Computrace的本体运行的时候,系统已经登录,文件系统已经挂载。 |
|
14
vibbow 2015-01-24 21:43:28 +08:00
|
|
16
vibbow 2015-01-24 21:51:57 +08:00
@yksoft1 Computrace这么小众的玩意,一般没人去盯的。
而且谁知道Computrace有什么漏洞呢,我看了一眼,我电脑上的agent数字签名是去年5月的。 |
 |
19
loading 2015-01-24 22:01:16 +08:00 via Android
就算有服务器校验合法性的代码,伪造一个合法的服务器也不太难,中间人!
|
|
23
yksoft1 OP @loading Absolute作为一家CA的公司,我感觉面对美国的Secret service要黑谁的要求也很难完全拒绝吧。。。
|
 |
25
kacong 2015-01-25 00:10:44 +08:00
确实有可能的漏洞,一般我拿到机器,直接进bios,永久禁用这个的。
|
 |
26
zxtasa 2015-01-25 00:12:56 +08:00
直接污染域名就能劫持了
|
 |
28
lxrabbit 2015-01-25 00:23:47 +08:00
怕的话BIOS里面关闭就是了
|
|
29
lxrabbit 2015-01-25 00:38:46 +08:00
也是可以从操作系统层面解决的
Computrace can be stopped: Do the following: 1) START>SETTINGS>CONTROL PANEL> ADMINISTRATIVE TOOLS> SERVICES> find RPC ( Remote Procedure Call ) NET and/or Service. Right click and Properties, set to Automatic and stop the serive. 2) C:\WINDOWS\SYSTEM 32\ Find these 4 files RPCNET.dll + RPCNETP.DLL + RPCNET.EXE + RPCNETP.EXE ( Do the following to each file ) 3) Delete each file. DO NOT REBOOT. Open WORD PAD. Type and "Save As" ( without quotes ). Name the file as the one it will replace above. Do this for all 4 files. Once they are all replaced with the "VOID" (bogus file ) Right click on each file and change the attribute to READ ONLY > APPLY > OK. To check and make sure it has worked, reboot your machine. Go to Services and check your RPC process and see if it has re started. If it restarted then you did something wrong with the above files, retry and reboot and recheck. Remember, if you delete one or all the files without stopping the service the files WILL come back automatically. Also you will not be able to delete RPCNET.exe if the service IS started. It must be done in the order above. I know this works because i've tested it. Keep in mind, even with the above done correctly Computrace WILL still show in BIOS but will pretty much be a dummy computrace. |
|
31
lxrabbit 2015-01-25 01:31:41 +08:00
|
 |
32
qazplkm 2015-01-25 01:38:29 +08:00
@lxrabbit
我看了一下,至少在win10上,在第一步之前,还要先改注册表里这个服务对应项目的所有者权限。否则以administrator是无法关闭此服务的。 |
 |
33
mug 2015-01-25 01:53:16 +08:00
|
 |
34
bumz 2015-01-25 02:05:06 +08:00
以前用 windows 的時候早就注意到這個 rpcnetp.exe 了,後來被我用鏡像劫持等大法幹掉了好像。
|
|
35
yksoft1 OP 1
@lxrabbit 斩草要除根,不管用什么别的办法,包括屏蔽文件生成,屏蔽文件修改,使用TC之类Computrace不支持的特殊卷,都不能把BIOS里面那个部分干掉,不是完整方案。
|
|
36
yksoft1 OP @mug 这就是我前面回复里说的用破DELL笔记本BIOS密码的工具包破这玩艺的办法。不过唯一彻底的解决办法只能是彻底去掉BIOS里这个模块,这很可能要牵涉到运用编程器
我感觉很多所谓的安全措施在对方有芯片级调试和维修的能力的状态下都不能完全保证安全,iPhone的板机、妖机就是个典型的例子 |
 |
37
ChangeTheWorld 2015-01-25 11:30:03 +08:00
金坷垃大大的科普文,以前也碰到过,从来没往这方面想
|
 |
38
jsq2627 2015-01-25 13:49:26 +08:00
@lxrabbit 这个东西在BIOS里开启后就无法关闭了。首次开启的时候会有警告说开启以后无法关闭。
DELL的高端笔记本里都预装这个程序了,有时候在设置BIOS的时候会一不小心把这个选项打开。 我之前不小心打开了,不过因为另一个问题联系售后换了主板,顺便把这个问题解决了。 |
 |
39
rainysia 2015-01-25 13:58:48 +08:00 1
thinkpad美行商务机的必备垃圾玩意儿..
|
|
41
yksoft1 OP @lxrabbit 没说一个程序能匹配所有装备了这个玩艺的BIOS。DELL的那个方法只是因为DELL改写NVRAM的工具被人搞了出来,它既能破解BIOS密码,也能用来把Computrace的基本设置复位。
|
 |
42
cYcoco 2015-01-25 16:12:30 +08:00
我觉得如果真的被人盯上 除非你不用电脑 。不然不可能全部防范住。楼上好多几十E身价吧。。那么担心
|
 |
43
XiaoXiaoNiWa 2019-06-01 01:58:40 +08:00 via Android
挖个坟。这玩意挺玄乎。
|
 |
44
wql 2019-06-17 23:31:50 +08:00
今天网络应急中心对此发出了警示。
|
Select Language