web-dev-qa-db-fra.com

Détection et suppression de la technologie de persistance absolue

technologie de persistance absolue équivaut à un rootkit persistant préinstallé par de nombreux fabricants d'appareils (Acer, Asus, Dell, HP, Lenovo, Samsung, Toshiba, etc.) pour faciliter - LoJack pour les ordinateurs portables et autres services de porte dérobée:

Le module de persistance absolue est conçu pour détecter le moment où les agents logiciels Computrace et/ou Absolute Manage ont été supprimés, garantissant qu'ils sont réinstallés automatiquement, même si le micrologiciel est flashé, le périphérique est réimagé, le disque dur est remplacé ou si une tablette ou un smartphone est nettoyé aux paramètres d'usine.

La technologie de persistance absolue est intégrée au BIOS ou au micrologiciel d'un périphérique pendant le processus de fabrication.

Cela a des échos à la fois Rakshasa et vPro .

En outre, comme autres rootkits d'entreprise , il augmente la surface d'attaque disponible sur le PC hôte et, par conséquent ouvre la porte à des logiciels malveillants supplémentaires :

Le protocole utilisé par Small Agent fournit la fonction de base de l'exécution de code à distance [et] crée de nombreuses opportunités d'attaques à distance dans un environnement réseau hostile. ... Une attaque typique sur un réseau local serait de rediriger tout le trafic d'un ordinateur exécutant Small Agent vers l'hôte de l'attaquant via l'empoisonnement ARP. Une autre possibilité consiste à utiliser une attaque de service DNS pour inciter l'agent à se connecter à un faux serveur C&C. Nous pensons qu'il existe plus de moyens de réaliser de telles attaques, bien que cela dépasse le cadre de la recherche actuelle.

Si un utilisateur légalement achète, d'occasion ou neuf, un appareil qui avait à l'origine la technologie de persistance absolue intégrée et peut même l'avoir activée, et souhaite:

  • pour détecter si la technologie est toujours présente dans l'appareil; et, si oui,
  • pour supprimer cette technologie de l'appareil (c'est-à-dire désinfecter l'appareil),

comment l'utilisateur doit-il procéder au mieux?

Je suppose que Coreboot fait partie de la réponse.

19
sampablokuper

La seule façon que je sache est de contacter Absolute Software et de demander la suppression de l'agent. Ils sont assez sympathiques, ils demanderont des informations d'identification sur l'ordinateur portable, puis ils enverront un message au propriétaire d'origine et lui demanderont s'ils l'ont vendu ou s'en sont débarrassés (je suppose).

J'ai attendu environ six mois pour la résolution finale, je viens de recevoir mon message. Voici à quoi cela ressemble:

L'agent a été supprimé de l'appareil XXXXXXXX, assurez-vous que l'appareil est connecté à un réseau câblé, doit avoir Windows O.S. installé, effectuez quelques redémarrages et veuillez prévoir 24,5 heures pour terminer l'ensemble du processus. Veuillez nous informer si vous avez besoin d'une assistance supplémentaire.

2
Morgan

Vous pouvez, comme je l'ai fait, écrire un service Windows qui se charge tôt dans l'ordre de démarrage de Windows, dans mon cas avant le service réseau, et attend le chargement du service injecté par le module APM. Une fois détecté, il arrêtera le service apm et supprimera le fichier des services. J'ai maintenu mon service en arrière-plan juste au cas où le module apm pourrait en quelque sorte réinjecter et exécuter le service apm.

Cette méthode a fonctionné avec mon compagnon de voyage Acer de 2012, peut-être que des choses se sont produites depuis lors.

1
Rich

"La technologie de persistance absolue est intégrée dans le BIOS ou le micrologiciel d'un périphérique pendant le processus de fabrication."

Ainsi, en plus de supprimer l'agent, vous devrez flasher le BIOS ou le firmware de l'appareil, avec une version sans technologie.

Étant donné que "le démarrage de base est un projet de logiciel libre visant à remplacer le BIOS propriétaire (micrologiciel) présent sur la plupart des ordinateurs", cela fait potentiellement partie d'une réponse.

Bien sûr, vous n'avez pas spécifié d'appareil, il est donc impossible de vous fournir une réponse détaillée. La seule bonne réponse est "cela dépend".

La fonctionnalité de la technologie nécessite que son retrait reste irréalisable, de sorte que sa qualité/réputation dépend de notre incapacité à vous fournir une réponse détaillée.

Ce n'est vraiment pas une technologie, mais plusieurs; revoir la technologie ANT de la NSA sous le nom de code DEITYBOUNCE, IRONCHEF, FEEDTROUGH, GOURMETTROUGH, etc.; voir https://commons.wikimedia.org/wiki/Category:NSA_ANT ...

1
Matthew Elvey

J'ai atteint le support technique d'Absolute Software au numéro fourni et lui ai donné le numéro de série du PC. Il m'a dit que leurs dossiers indiquaient que Computrace avait été désactivé par le propriétaire du PC d'origine il y a 5 ans, mais Absolute Software ne peut rien faire pour aider, que mon seul recours consiste à acheter une carte mère de remplacement auprès du fabricant.

Selon la FAQ:

Que faire si l'agent logiciel Absolute doit être supprimé d'un périphérique?

Les administrateurs informatiques autorisés à le faire peuvent exécuter cette fonction eux-mêmes au sein du centre client absolu pour Computrace, ou à partir de la console Absolute Manage pour la suppression de l'agent logiciel Absolute Manage.

C'est à dire. vous devez autoriser l'installation de CompuTrace, persuader Absolute que vous êtes l'utilisateur autorisé maintenant, vous transférer le contrôle et le désactiver à l'aide de leur service géré.

Ce qui impliquera certainement de leur envoyer de l'argent.

Je suppose que CompuTrace sera détecté par tout antivirus compétent en tant que "logiciel de gestion à distance" que vous pouvez probablement signaler de ne pas exécuter.

0
Ben