Rilevazione e rimozione della tecnologia di persistenza assoluta

Question

Rilevazione e rimozione della tecnologia di persistenza assoluta

#1 da (2 voti)
#2 da (1 voti)
#3 da (0 voti)

16

La tecnologia di persistenza assoluta equivale a un rootkit persistente preinstallato da molti produttori di dispositivi (Acer, Asus, Dell, HP, Lenovo, Samsung, Toshiba, ecc.) per facilitare LoJack per laptop e altri servizi backdoor:

The Absolute persistence module is built to detect when the Computrace and/or Absolute Manage software agents have been removed, ensuring they are automatically reinstalled, even if the firmware is flashed, the device is re-imaged, the hard drive is replaced, or if a tablet or smartphone is wiped clean to factory settings.

Absolute persistence technology is built into the BIOS or firmware of a device during the manufacturing process.

Questo ha echi di entrambi Rakshasa e vPro .

Inoltre, come altri rootkit aziendali , aumenta la superficie di attacco disponibile sul PC host e quindi apre la porta a malware aggiuntivo :

The protocol used by the Small Agent provides the basic feature of remote code execution [and] creates numerous opportunities for remote attacks in a hostile network environment. ... A typical attack on a local area network would be to redirect all traffic from a computer running Small Agent to the attacker’s host via ARP-poisoning. Another possibility is to use a DNS service attack to trick the agent into connecting to a fake C&C server. We believe there are more ways to accomplish such attacks, though this is beyond the scope of the current research.

In ogni caso, se un utente legalmente acquista, di seconda mano o nuovo, un dispositivo che in origine aveva la tecnologia di persistenza assoluta incorporata e potrebbe persino averlo attivato e desidera:

per rilevare se la tecnologia è ancora presente nel dispositivo; e, in tal caso,
per rimuovere la tecnologia dal dispositivo (ad es. disinfettare il dispositivo),

come meglio dovrebbe andare su questo?

Suppongo che Coreboot sia parte della risposta.

firmware bios backdoor spyware rootkits

posta sampablokuper 19.03.2014 - 16:20

fonte

3 risposte

Leggi altre domande sui tag firmware bios backdoor spyware rootkits

Nessus vs scansioni di terze parti Perchè Sage Ransomeware lista nera League of Legends, steamapps, ecc.? [chiuso]

score 2 · Answer 1

"La tecnologia di persistenza assoluta è integrata nel BIOS o nel firmware di un dispositivo durante il processo di produzione."

Quindi, oltre a rimuovere l'agente, è necessario aggiornare il BIOS o il firmware del dispositivo, con una versione senza tecnologia.

Poiché "core boot è un progetto di software libero volto a sostituire il BIOS proprietario (firmware) presente nella maggior parte dei computer", è potenzialmente parte di una risposta.

Naturalmente, non hai specificato un dispositivo, quindi è impossibile fornirti una risposta dettagliata. L'unica risposta corretta è "dipende".

La funzionalità della tecnologia richiede che rimuovendolo rimanga impossibile, quindi la sua qualità / reputazione dipende dal fatto che non siamo in grado di fornirti una risposta dettagliata.

In realtà non è una tecnologia, ma molte; rivedere la tecnologia ANT della NSA con nome in codice DEITYBOUNCE, IRONCHEF, FEEDTROUGH, GOURMETTROUGH, ecc; vedi link ...

score 1 · Answer 2

L'unico modo che conosco è contattare Absolute Software e richiedere la rimozione dell'agente. Sono abbastanza amichevoli, chiederanno alcune informazioni identificative sul laptop e poi invieranno un messaggio al proprietario originale e chiederanno se l'hanno venduto o se ne sono liberati (credo).

Ho atteso l'ordine di sei mesi per la risoluzione finale, ho appena ricevuto il mio messaggio. Ecco come appare:

The agent has been removed from device XXXXXXXX, make sure that the device is connected to a wired network, must have Windows O.S. installed, perform some reboots and please allow 24.5 hours in order to complete the whole process. Please let us know if you need further assistance.

score 0 · Answer 3

In base alle domande frequenti:

What if the Absolute software agent needs to be removed from a device?

IT administrators that have been authorized to do so, may carry out this function themselves within the Absolute Customer Center for Computrace, or from within the Absolute Manage console for Absolute Manage software agent removal.

vale a dire. devi consentire a CompuTrace di essere installato, persuadere Assoluto che sei l'utente autorizzato ora, ottenere il controllo trasferito a te e disattivarlo utilizzando il loro servizio gestito.

Il che implicherà sicuramente l'invio di denaro.

Immagino che CompuTrace verrà rilevato da qualsiasi antivirus competente come "software di gestione remota" che probabilmente puoi segnalare per non essere eseguito.