Опция BIOS Computrace

Опция  Computrace - определяет поведение встроенных программных систем защиты от хищения устройств -  в данном случае службы  Computrace(R) от компании Absolute(R) Software.

Это поле позволяет активировать или отключить модуль BIOS Computrace (R )   опциональной  службы в ОС от Absolute(R) Software. Computrace (R) агент от Absolute(R) Software  является сервисом, предназначенным для отслеживания устройств и предоставления услуги по установлению их места расположения в случае если компьютер будет потерян или украден. Computrace (R) агент общается с программным обеспечение сервера мониторинга Absolute(R) Software на запрограммированных интервалов для предоставления услуг слежения.

Агент Computrace — это приложение Windows, которое имеет две формы: сокращенную и полную. Сокращенную форму агента можно характеризовать как имеющую минимально возможный размер при максимальной гибкости и расширяемости. Этот модуль внедряется в прошивку BIOS (а точнее в PCI Option ROM или как UEFI-модуль). В патенте США за номером 20060272020A1,принадлежащем Absolute Software, этот агент описан как mini CDA (Communications Driver Agent)и предназначен для проверки наличия и работоспособности полноразмерного агента. В случае отсутствия полноценного агента, мини-агент загрузит его с сервера в глобальной сети.

Согласно описанию в патенте, постоянный модуль находится в дополнительном BIOS ROM. Дополнительный ROM имеет небольшую секцию с модулями Computrace агента, которые добавляются производителем BIOS и прошиваются на заводе производителем компьютера (а точнее, производителем материнской платы).

Современный EFI BIOS может содержать до нескольких сотен специальных EFI-драйверов, EFI-приложений и других модулей, упакованных в некого рода файловую систему. Мы обнаружили, что один из таких модулей являлся EFI-приложением или дополнительным ROM с Computrace агентом внутри. Таким образом, перепрошивка BIOS лишь обновит версию агента.

rpcnetp.exe >в autochk.exe >в EFI-приложении >в другом EFI-App>в ROM модуле >в прошивке BIOS

Мы можем отметить, что для прошивок, содержащих Computrace, соответствующие настройки в BIOS Setup могут как существовать, так и отсутствовать.

Разновидность ПО, которое невозможно удалить даже профессионалу. Эти программные продукты устойчивы даже к замене жесткого диска. Один из них - программные системы защиты от хищения устройств (ноутбуки, планшеты, телефоны), широко используемые в современных ноутбуках. В целом, иметь подобную защиту — это очень хорошая идея. Однако ее плохая реализация может не только сделать идею неработоспособной, но и подвергнуть пользователя дополнительному риску. Мы полагаем, что компании, реализующие технологии защиты от хищения, должны уделять особо пристальное внимание безопасности при разработке своих продуктов.

Главная из работ, проделанных ранее на эту тему, - исследование Alfredo Ortega и Anibal Sacco из Core Security Technologies, отраженное в их докладе «Deactivatethe Rootkit: Attackson BIOS anti-theft technologies» на конференции Blackhat в США в 2009 году. В исследовании они описали общие механизмы работы технологии Absolute Computrace для защиты от хищения устройств.

Авторы исследования рассмотрели риск эксплуатации систем со встроенным в код прошивки BIOS программным обеспечением для защиты от хищения устройства. Они продемонстрировали доказательства уязвимости подобных модулей против локальных атак, подразумевающих наличие физического доступа к компьютеру или возможности исполнения на нем произвольного кода.

Стандартное поведение ПО Computrace

Фаза 1: модуль BIOS

В первой фазе сразу после инициализации основного BIOS выполняются модули дополнительных ROM, выполняются EFI-приложения. В этой стадии модуль Computrace просматривает FAT/FAT32/NTFS разделы жестких дисков в поисках установленной ОС Windows. Затем он создает копию системного autochk.exe и переписывает его своим кодом. Системный autochk.exe сохраняется под именем autochk.exe.bak на FAT или autochk.exe:BAK в альтернативном потоке данных NTFS.

Фаза 2: autochk.exe

Модифицированный autochk.exe, стартуя во время загрузки, имеет полный доступ как к локальным файлам, так и к реестру Windows. Благодаря этому он благополучно сохраняет в папку system32 файл агента rpcnetp.exe и регистрирует его в реестре Windows в качестве новой сервисной службы. Позже оригинальный autochk.exe восстанавливается из сохраненной копии.

Фаза 3: rpcnetp.exe

Именно этот модуль также известен как мини-агент Computrace агент или mini CDA (Communication Driver Agent). Его размер относительно невелик, всего около 17Kb.

Мини-агент стартует как сервисная служба Windows. Сразу после этого он копирует собственный исполняемый EXE-файл под именем rpcnetp.dll, устанавливая при этом соответствующий флаг в PE заголовке (чем утверждает, что это корректный DLL файл), и загружает DLL. Затем rpcnetp.exe запускает дочерний процесс svchost.exe в приостановленном состоянии и внедряет в его память созданный rpcnetp.dll. При возобновлении исполнения svchost.exe создает дочерний процесс браузера iexplore.exe с правами текущего активного пользователя. Iexplore.exe также создается в приостановленном состоянии и так же получает инъекцию rpcnetp.dll. Модифицированный таким образом браузер в автоматическом режиме соединяется с сервером управления для получения команд и загрузки дополнительных модулей. Это приводит к скачиванию и установке полноразмерного агента rpcnet.exe... https://www.securelist.com/ru/analysis/208050831/Ugroza_iz_BIOS

Значения опции:

• Deactivate -
• Activate -
• Disabled -

Более подробно о недостатках и достоинствах "нового БИОСА - UEFI -  интерфейс прошивки" написано здесь.

Опция также может иметь другие названия:

1. Computrace

Программа Aptio Setup Utility - BIOS фирмы American Megatrends Inc на системных платах Dell Inc.

Название данной опции у данного производителя в данной версии BIOS:

Computrace значение по умолчанию  [Deactivate]

Возможное значение: