web-dev-qa-db-ja.com

絶対持続性テクノロジーの検出と削除

絶対持続性テクノロジー プレインストールされた持続性ルートキットに相当 多くのデバイスメーカー (Acer、Asus、Dell、HP、Lenovo、Samsung、東芝など)促進するために- LoJack ラップトップおよびその他のバックドアサービスの場合:

Absoluteパーシステンスモジュールは、ComputraceやAbsolute Manageソフトウェアエージェントが削除されたことを検出するように構築されており、ファームウェアがフラッシュされた場合、デバイスが再イメージ化された場合、ハードドライブが交換された場合、またはタブレットまたはスマートフォンが工場出荷時の設定に完全に拭かれます。

絶対的な持続性テクノロジーは、製造プロセス中にデバイスのBIOSまたはファームウェアに組み込まれます。

RakshasavPro の両方のエコーがあります。

また、 その他の企業ルートキット と同様に、ホストPCで利用可能な攻撃面を増やし、それによって 追加のマルウェアへの扉を開く

Small Agentが使用するプロトコルは、リモートコード実行の基本機能を提供し、悪意のあるネットワーク環境でリモート攻撃の機会を数多く生み出します。 ...ローカルエリアネットワークに対する典型的な攻撃は、Small Agentを実行しているコンピュータからすべてのトラフィックをARPポイズニングを介して攻撃者のホス​​トにリダイレクトすることです。別の可能性は、DNSサービス攻撃を使用して、エージェントをだまして偽のC&Cサーバーに接続させることです。このような攻撃を実行する方法は他にもあると考えていますが、これは現在の調査の範囲を超えています。

ユーザーが合法的に購入した場合、中古または新規のデバイスで、もともとAbsoluteパーシステンステクノロジーが組み込まれていて、アクティブ化されている可能性さえあります。そして願い:

  • テクノロジーがデバイスにまだ存在するかどうかを検出します。そして、もしそうなら、
  • デバイスからテクノロジーを削除する(つまり、デバイスを駆除する)、

ユーザーがこれをどのように行うのが最善ですか?

Coreboot が答えの一部であると私は推測しています。

rootkitsspywarebiosbackdoorfirmware
19
sampablokuper

私が知っている唯一の方法はAbsolute Softwareに連絡してエージェントの削除を要求することです。彼らは十分に友好的であり、ラップトップでいくつかの識別情報を求め、次に元の所有者にメッセージを送信して、それを売ったのか、取り除いたのかを尋ねます(私は推測します)。

私は最終的な解決のために6ヶ月のオーダーを待っていましたが、メッセージが届きました。これは次のようになります。

エージェントがデバイスXXXXXXXXから削除されました。デバイスが有線ネットワークに接続されていること、Windows OSが必要であることを確認してください。インストールされ、いくつかの再起動を実行し、プロセス全体を完了するために24.5時間かかります。さらにサポートが必要な場合はお知らせください。

2
Morgan

私がしたように、ネットワークサービスの前のWindowsブート順序の早い段階でロードし、apmモジュールによって挿入されたサービスがロードされるのを待つWindowsサービスを作成することができます。検出されると、apmサービスを停止し、servicesファイルを削除します。 apmモジュールが何らかの形でapmサービスを再注入して実行できるように、サービスをバックグラウンドで実行し続けました。

この方法は2012年から私のAcerのトラベルメイトで機能しました。

1
Rich

「絶対的な持続性技術は、製造プロセス中にデバイスのBIOSまたはファームウェアに組み込まれています。」

そのため、エージェントを削除するだけでなく、デバイスのBIOSまたはファームウェアを、テクノロジーなしのバージョンでフラッシュする必要があります。

「コアブートは、ほとんどのコンピューターにある独自のBIOS(ファームウェア)を置き換えることを目的としたフリーソフトウェアプロジェクト」であるため、回答の一部となる可能性があります。

もちろん、デバイスを指定していないため、詳細な回答を提供することはできません。唯一の正しい答えは「依存する」です。

テクノロジーの機能性は、それを削除することが実行不可能であり続けることを必要とするので、その品質/評価は、私たちが詳細な答えを提供できないことにかかっています。

これは実際には1つのテクノロジではなく、多くのテクノロジです。コードネームDEITYBOUNCE、IRONCHEF、FEEDTROUGH、GOURMETTROUGHなどのNSAのANTテクノロジを確認します。参照 https://commons.wikimedia.org/wiki/Category:NSA_ANT ...

1
Matthew Elvey

提供された番号でAbsolute Softwareのテクニカルサポートに連絡し、PCのシリアル番号を伝えました。彼は、彼らの記録によると、Computraceは5年前に元のPC所有者によって無効にされていたと述べていますが、Absolute Softwareができることは何もないので、製造元から交換用マザーボードを購入することを検討するしかありません。

0
Purchaser of a used Lenovo PC

FAQによると:

Absoluteソフトウェアエージェントをデバイスから削除する必要がある場合はどうなりますか?

許可されたIT管理者は、Computraceの場合はAbsolute Customer Center内で、またはAbsolute Manageソフトウェアエージェントの削除の場合はAbsolute Manageコンソールからこの機能を自分で実行できます。

つまりCompuTraceのインストールを許可し、Absoluteに今は承認されたユーザーであることを説得し、制御をあなたに移し、マネージドサービスを使用して非アクティブ化する必要があります。

それは確かに彼らにお金を送ることを含みます。

CompuTraceは、有能なアンチウイルスによって「リモート管理ソフトウェア」として検出され、おそらく実行しないようにフラグを立てることができると思います。

0
Ben