Опция Computrace — определяет поведение встроенных программных систем защиты от хищения устройств — в данном случае службы Computrace(R) от компании Absolute(R) Software.
Это поле позволяет активировать или отключить модуль BIOS Computrace (R ) опциональной службы в ОС от Absolute(R) Software. Computrace (R) агент от Absolute(R) Software является сервисом, предназначенным для отслеживания устройств и предоставления услуги по установлению их места расположения в случае если компьютер будет потерян или украден. Computrace (R) агент общается с программным обеспечение сервера мониторинга Absolute(R) Software на запрограммированных интервалов для предоставления услуг слежения.
Агент Computrace — это приложение Windows, которое имеет две формы: сокращенную и полную. Сокращенную форму агента можно характеризовать как имеющую минимально возможный размер при максимальной гибкости и расширяемости. Этот модуль внедряется в прошивку BIOS (а точнее в PCI Option ROM или как UEFI-модуль). В патенте США за номером 20060272020A1,принадлежащем Absolute Software, этот агент описан как mini CDA (Communications Driver Agent)и предназначен для проверки наличия и работоспособности полноразмерного агента. В случае отсутствия полноценного агента, мини-агент загрузит его с сервера в глобальной сети.
Согласно описанию в патенте, постоянный модуль находится в дополнительном BIOS ROM. Дополнительный ROM имеет небольшую секцию с модулями Computrace агента, которые добавляются производителем BIOS и прошиваются на заводе производителем компьютера (а точнее, производителем материнской платы).
Современный EFI BIOS может содержать до нескольких сотен специальных EFI-драйверов, EFI-приложений и других модулей, упакованных в некого рода файловую систему. Мы обнаружили, что один из таких модулей являлся EFI-приложением или дополнительным ROM с Computrace агентом внутри. Таким образом, перепрошивка BIOS лишь обновит версию агента.
rpcnetp.exe >в autochk.exe >в EFI-приложении >в другом EFI-App>в ROM модуле >в прошивке BIOS
Мы можем отметить, что для прошивок, содержащих Computrace, соответствующие настройки в BIOS Setup могут как существовать, так и отсутствовать.
Разновидность ПО, которое невозможно удалить даже профессионалу. Эти программные продукты устойчивы даже к замене жесткого диска. Один из них — программные системы защиты от хищения устройств (ноутбуки, планшеты, телефоны), широко используемые в современных ноутбуках. В целом, иметь подобную защиту — это очень хорошая идея. Однако ее плохая реализация может не только сделать идею неработоспособной, но и подвергнуть пользователя дополнительному риску. Мы полагаем, что компании, реализующие технологии защиты от хищения, должны уделять особо пристальное внимание безопасности при разработке своих продуктов.
Главная из работ, проделанных ранее на эту тему, — исследование Alfredo Ortega и Anibal Sacco из Core Security Technologies, отраженное в их докладе «Deactivatethe Rootkit: Attackson BIOS anti-theft technologies» на конференции Blackhat в США в 2009 году. В исследовании они описали общие механизмы работы технологии Absolute Computrace для защиты от хищения устройств.
Авторы исследования рассмотрели риск эксплуатации систем со встроенным в код прошивки BIOS программным обеспечением для защиты от хищения устройства. Они продемонстрировали доказательства уязвимости подобных модулей против локальных атак, подразумевающих наличие физического доступа к компьютеру или возможности исполнения на нем произвольного кода.
Стандартное поведение ПО Computrace
Фаза 1: модуль BIOS
В первой фазе сразу после инициализации основного BIOS выполняются модули дополнительных ROM, выполняются EFI-приложения. В этой стадии модуль Computrace просматривает FAT/FAT32/NTFS разделы жестких дисков в поисках установленной ОС Windows. Затем он создает копию системного autochk.exe и переписывает его своим кодом. Системный autochk.exe сохраняется под именем autochk.exe.bak на FAT или autochk.exe:BAK в альтернативном потоке данных NTFS.
Фаза 2: autochk.exe
Модифицированный autochk.exe, стартуя во время загрузки, имеет полный доступ как к локальным файлам, так и к реестру Windows. Благодаря этому он благополучно сохраняет в папку system32 файл агента rpcnetp.exe и регистрирует его в реестре Windows в качестве новой сервисной службы. Позже оригинальный autochk.exe восстанавливается из сохраненной копии.
Фаза 3: rpcnetp.exe
Именно этот модуль также известен как мини-агент Computrace агент или mini CDA (Communication Driver Agent). Его размер относительно невелик, всего около 17Kb.
Мини-агент стартует как сервисная служба Windows. Сразу после этого он копирует собственный исполняемый EXE-файл под именем rpcnetp.dll, устанавливая при этом соответствующий флаг в PE заголовке (чем утверждает, что это корректный DLL файл), и загружает DLL. Затем rpcnetp.exe запускает дочерний процесс svchost.exe в приостановленном состоянии и внедряет в его память созданный rpcnetp.dll. При возобновлении исполнения svchost.exe создает дочерний процесс браузера iexplore.exe с правами текущего активного пользователя. Iexplore.exe также создается в приостановленном состоянии и так же получает инъекцию rpcnetp.dll. Модифицированный таким образом браузер в автоматическом режиме соединяется с сервером управления для получения команд и загрузки дополнительных модулей. Это приводит к скачиванию и установке полноразмерного агента rpcnet.exe. https://www.securelist.com/ru/analysis/208050831/Ugroza_iz_BIOS
- Deactivate —
- Activate —
- Disabled —
Опция также может иметь другие названия:
Программа Aptio Setup Utility — BIOS фирмы American Megatrends Inc на системных платах Dell Inc.
Название данной опции у данного производителя в данной версии BIOS:
Computrace значение по умолчанию [Deactivate]
| Обозначение опции BIOS | Описание опции в БИОСе | Переведенное значение опции БИОС |
|---|---|---|
| 1. |
This field lets you Activate or Disable the BIOS module interface of the optional Computrace(R) Service from Absolute(R) Software.The Computrace(R) agent from Absolute(R) Software is a service solution designed to help track assets and provide recovery services in the event the computer is lost or stolen.
The Computrace(R) agent communicates with the Absolute software Monitoring Server at programmed intervals to provide the tracking service.
By activating the service, you consent to the transmission of information from and to your computer and the Absolute Software Monitoring Server. The Computrace service is purchased as an option and the monitoring Server will enable its agent security module through an interface provided by the BIOS.
Computrace(R) and Absolute(R) are registered trademarks of Absolute Software Corporation. The Absolute(R) Anti-Theft solution is presently Deactivated. Note that the Activate or Disable options will permanently Activate or Disable the feature and no further changes will be allowed.
Это поле позволяет активировать или отключить модуль BIOS Computrace (R) опциональной службы в ОС от Absolute(R) Software. Computrace (R) агент от Absolute(R) Software является сервисом, предназначенным для отслеживания устройств и предоставления услуги по установлению их места расположения в случае если компьютер будет потерян или украден. Computrace (R) агент общается с программным обеспечение сервера мониторинга Absolute(R) Software на запрограммированных интервалов для предоставления услуг слежения.
Подключив услугу , вы выражаете согласие на передачу информации от и к компьютеру и сервера мониторинга Absolute Software . Служба Computrace приобретается в качестве опции и Мониторинг серверов осуществляется через модуль — агент безопасности интерфейс предоставленный BIOS.
Computrace (R) и абсолютного (R) являются зарегистрированными торговыми марками Absolute Software Corporation.
Абсолют (R) Anti-Theft решение в настоящее время отключена. Обратите внимание, что включать или отключать опции будут постоянно Включить или отключить эту функцию и дальнейшие изменения не будут разрешены.
Если информация была полезной для вас, вы можете поблагодарить за труды Яндекс деньгами: 41001164449086 или пластиковой картой:
Удаляем rpcnetp.exe Computrace (LoJack) из BIOS UEFI на примере Asus 1225b
rpcnetp.exe – это файл системы Computrace для удалённой защиты в ноутбуках, которая по идеи должна помочь владельцу в случае кражи или утери.
Всё бы хорошо, однако есть несколько но:
- Мне такая система не нужна
- Фактически это бэкдор, дающий доступ к моему компьютеру разработчикам Computrace из Absolute Software
- rpcnetp.exe вступает в жёсткую конфронтацию с многими антивирусными системами, что вызывает избыточную нагрузку на процессор, тем самым сокращая время автономной работы ноутбука.
Многие скажут удалить и нет проблем! Но не тут то было.
Если не вдаваться в подробности, то фактически Computrace (он же lojack) зашит на уровне BIOS UEFI. Суть системы сводиться к тому, что она каждый раз при включении компьютера прописывает себя в Windows.
Более подробно механизм довольно неплохо расписан здесь:
О правомерности таких действий, можно долго говорить, но суть от этого не измениться — бэкдор есть и мало этого, он мешает нормально работать. Поэтому будем удалять.
В большинстве случаев Computrace использует 2 файла:
Все они находятся в подкаталогах c:Windows. Тут всё зависит от версии Computrace, и для того чтобы их найти можно банально воспользоваться поиском Windows по слову “rpcnet”.
Повторюсь, сколько бы вы не пытаться удалить файлы с диска, переустанавливать Windows, Computrace будет прописываться в момент включения компьютера из BIOS!
На просторах интернета существуют несколько рецептов как избавиться от этой гадости:
- Отключить эту самую систему в опциях BIOS UEFI
- Создать пустые файлы с соответствующими именами, и проставить им атрибут “Только чтение”
В моём Asus 1225b, опции отключения в BIOS не оказалось, пустые файлы продолжали переписываться замечательной “защитой”.
Надо понимать, что Computrace работает (пока) только с Windows.
При все своей любви к Linux системам, вариант полностью отказаться от Windows меня тоже не особо устроил. Поэтому, я решил покопаться в файле с прошивкой BIOS.
Наиболее простой способ, это воспользоваться родной утилитой от AMI — Aptio UEFI MMTool (все ссылки в конце статьи).
Открываем BIOS (в моём случае скачал последнюю версию Asus 1225b с офф сайта — 1225B.209).
Перейдя на вкладку Extract, и указав место назначения, можно извлечь из файла прошивки все модули. Что собственно я и сделал.
В одном из таких модулей с размром 5D28 (23848 dec) байт, с GUID — AD150236-7337-4FCB-8F9E-0BD803A1C3EE — оказался Computrace.
Идентифицировать его довольно просто посмотрев содержимое.
Далее я воспользовался Delete, и удалил соответствующий модуль, после чего залил новую прошивку.
Вот тут меня поджидал, как сейчас модно говорить, Эпик Фейл. Система Висла между загрузкой Bios и стартом загрузчика.
Какими только способами я не пытался полностью удалить модуль из BIOS, система приходила в негодность.
Поэтому, я решил пойти другим путём, если нельзя полностью удалить модуль, то можно его деактивировать.
Деактивировать модуль я решил путём изменения места установки начального загрузчика Computrace.
Теперь он будет пытаться прописаться в 9тый раздел по адресу XINDOWS.
Понятно, что это у него не получиться.
Описываться процесс переупаковки прошивки, думаю не стоит. Он вышел у меня довольно сложным (для этого я использовал UEFITool), и я не уверен, что нет более простого пути . Так же мне пришлось подменить дату создания, поскольку ez flash 2 встроенный в BIOS, отказался загружать прошивку с той же датой релиза что и текущая.
На выходе я получил прошивку, назвав её 1225B.209.n, в которой модуль Computrace не работоспособен.
После прошивки, всё что осталось сделать это удалить, rpcnetp.exe (либо rpcnet.exe), rpcnetp.dll (либо rpcnet.dll) стандартными средствами Windows.
Хотелось бы напомнить, что все кто решит прошиться моей версией 1225B.209.n, помните вы делаете это на свой страх и риск. Однако, за то время что я разбирался Computrace, шанс превратить свой ноутбук в “кирпич”, у меня был значительно больше чем у всех, кто решит воспользоваться уже готовой прошивкой 🙂
Если у кого есть мысли как полностью удалить модуль Computrace – пишите.
Xakep #248. Checkm8
«Лаборатория Касперского» опубликовала аналитический отчет с описанием нескольких случаев несанкционированной активации программного агента Computrace. Его часто ставят в прошивки ноутбуков для удаленного слежения (например, в случае кражи). Общее количество ноутбуков с установленными агентами Computrace по всему миру оценивается в 2 млн, причем значительная часть их находится в России.
Absolute Computrace
Агент Computrace — это приложение Windows, которое имеет две формы: сокращенную и полную. Сокращенную форму агента можно характеризовать как имеющую минимально возможный размер при максимальной гибкости и расширяемости. Этот модуль внедряется в прошивку BIOS (а точнее в PCI Option ROM или как UEFI-модуль). В патенте США за номером 20060272020A1, принадлежащем Absolute Software, этот агент описан как mini CDA (Communications Driver Agent)и предназначен для проверки наличия и работоспособности полноразмерного агента. В случае отсутствия полноценного агента, мини-агент загрузит его с сервера в глобальной сети.
Дополнительный ROM имеет небольшую секцию с модулями Computrace агента, которые добавляются производителем BIOS и прошиваются на заводе производителем компьютера (а точнее, производителем материнской платы). Интересно, что для прошивок, содержащих Computrace, соответствующие настройки в BIOS Setup могут как существовать, так и отсутствовать. Например, в ASUS X102BA их нет.
В то же время модуль Computrace позволяет осуществить удаленный доступ к компьютеру через интернет. Производители устанавливают шпионский софт в BIOS некоторых моделей ноутбуков, не уведомляя об этом покупателей. Например, такое случалось с покупателями ноутбуков ASUS 1225B, Samsung 900X3C и Samsung NP670Z5E.
На диаграмме показаны производители материнских плат компьютеров с активным агентом Computrace. Статистика собрана с сети KSN.
«Лаборатория Касперского» изучила коммуникацию агента Computrace с удаленным сервером и обнаружила довольно простой протокол.
«Детальное рассмотрение протокола дает нам представление о том, что его дизайн спроектирован для удаленного исполнения любого рода команд. У нас нет доказательств того, что Absolute Computrace был использован как платформа для атак, но мы отчетливо видим возможность этого, и некоторые тревожные и необъяснимые факты делают эту возможность все более реалистичной, — пишут специалисты антивирусной компании. — Мы глубоко убеждены, что столь прогрессивный инструмент обязан иметь столь же прогрессивную защиту от несанкционированного использования, включая механизмы надежной аутентификации и шифрования».
Индикаторы активности агента Computrace
1. Один из процессов запущен:
- rpcnet.exe
- rpcnetp.exe
- 32-bitsvchost.exe, работающие на 64-bitсистеме (косвенный индикатор)
2. Один из файлов существует на диске:
- %WINDIR%System32rpcnet.exe
- %WINDIR%System32rpcnetp.exe
- %WINDIR%System32wceprv.dll
- %WINDIR%System32identprv.dll
- %WINDIR%System32Upgrd.exe
- %WINDIR%System32autochk.exe.bak (для FAT)
- %WINDIR%System32autochk.exe:bak (для NTFS)
3. Система отправляет DNS-запросы для следующих доменов:
- search.namequery.com
- search.us.namequery.com
- search64.namequery.com
- bh.namequery.com
- namequery.nettrace.co.za
- search2.namequery.com
- m229.absolute.com или любых m*.absolute.com
4. Система соединяется со следующим IP-адресом: 209.53.113.223
5. Существует один из следующих ключей в реестре: