Detectar y eliminar la tecnología de persistencia absoluta

15

La tecnología de persistencia absoluta equivale a un rootkit persistente preinstalado por muchos fabricantes de dispositivos (Acer, Asus, Dell, HP, Lenovo, Samsung, Toshiba, etc.) para facilitar LoJack para computadoras portátiles y otros servicios de puerta trasera:

  

El módulo de persistencia Absoluta está diseñado para detectar cuando Computrace   y / o los agentes de software de Absolute Manage se han eliminado, lo que garantiza   se reinstalan automáticamente, incluso si el firmware está flasheado,   se vuelve a crear una imagen del dispositivo, se reemplaza el disco duro, o si una tableta o   El teléfono inteligente se borra a la configuración de fábrica.

     

Persistencia absoluta   La tecnología está incorporada en el BIOS o el firmware de un dispositivo durante el   proceso de fabricación.

Esto tiene ecos de Rakshasa y vPro .

También, como otros rootkits corporativos , aumenta la superficie de ataque disponible en el PC host y, por lo tanto, abre la puerta a un malware adicional :

  

El protocolo utilizado por Small Agent proporciona la característica básica de   la ejecución remota de código [y] crea numerosas oportunidades para el control remoto   Ataques en un entorno de red hostil. ... Un ataque típico a un   La red de área local sería redirigir todo el tráfico de una computadora.   ejecutar Small Agent al host del atacante a través de ARP envenenamiento. Otro   posibilidad es utilizar un ataque de servicio DNS para engañar al agente para que   Conectándose a un servidor falso de C & C. Creemos que hay más formas de   lograr tales ataques, aunque esto está más allá del alcance de la   investigación actual.

De todos modos, si un usuario legalmente compra, de segunda mano o nuevo, un dispositivo que originalmente tenía la tecnología de persistencia Absolute incorporada y puede incluso haberla activado, y desea:

  • para detectar si la tecnología aún está presente en el dispositivo; y, si es así,
  • para eliminar esa tecnología del dispositivo (es decir, desinfectar el dispositivo),

¿Cuál es la mejor forma de hacer esto?

Supongo que Coreboot es parte de la respuesta.

    
pregunta sampablokuper 19.03.2014 - 16:20
fuente

2 respuestas

2

"La tecnología de persistencia absoluta está incorporada en el BIOS o el firmware de un dispositivo durante el proceso de fabricación".

Por lo tanto, además de eliminar el agente, deberá actualizar el BIOS o el firmware del dispositivo, con una versión sin la tecnología.

Dado que "el arranque central es un proyecto de Software Libre destinado a reemplazar el BIOS propietario (firmware) que se encuentra en la mayoría de las computadoras", es potencialmente parte de una respuesta.

Por supuesto, no ha especificado un dispositivo, por lo que es imposible proporcionarle una respuesta detallada. La única respuesta correcta es 'depende'.

La funcionalidad de la tecnología requiere que eliminarla no sea factible, por lo que su calidad / respuesta depende de que no podamos proporcionarle una respuesta detallada.

Realmente no es una tecnología, sino muchas; revise la tecnología ANT de la NSA con nombre en código DEITYBOUNCE, IRONCHEF, FEEDTROUGH, GOURMETTROUGH, etc. Consulte enlace ...

    
respondido por el Matthew Elvey 16.04.2014 - 01:25
fuente
0

Según las preguntas frecuentes:

  

¿Qué sucede si el agente de software de Absolute debe eliminarse de un dispositivo?

     

Los administradores de TI que hayan sido autorizados para hacerlo, pueden llevar a cabo   esta función ellos mismos dentro del Centro de Clientes Absoluto para   Computrace, o desde dentro de la consola de Absolute Manage para Absolute   Administrar la eliminación del agente de software.

I.e. debe permitir que se instale CompuTrace, convencer a Absolute de que usted es el usuario autorizado ahora, obtener el control que se le transfiere y desactivarlo mediante su servicio administrado.

Lo que ciertamente implicará enviarles dinero.

Supongo que cualquier antivirus competente detectará CompuTrace como un "software de administración remota" que probablemente puede marcar para que no se ejecute.

    
respondido por el Ben 19.03.2014 - 18:53
fuente

Lea otras preguntas en las etiquetas