Laptops von Asus, Dell, HP, Lenovo oder Toshiba betroffen:
Potenzielles Rootkit im Laptop: Diebstahlschutz von Absolute

von Werner Veith (werner.veith@networkcomputing.de)

Share
03.08.2009

Eigentlich ist der Diebstahlschutz »Computrace LoJack« von Absolute Software für Laptops eine gute Sache. Aber er lässt sich als Rootkit missbrauchen, wie ein Vortrag auf Blackhat-Konferenz zeigt. Das Problem ist der Agent, der sich über das Bios installiert.

(Fortsetzung des Artikels von Seite 1)

Laptops gehen schnell verloren in Taxis, Restaurant, Hotels oder Flughäfen. Aus diesem Grund ist eine Lösung wie »Computrace LoJack [1]« von Absolute Software [2] eine interessante Sache. Der im Bios installierte Agent liefert nach einer Diebstahlmeldung in kurzen Abständen Informationen an Absolute, die helfen sollen, den Laptop zu finden. Doch die Lösung erweist sich nicht nur als gefährlich für die Diebe, sondern auch den Besitzer, wie ein Vortrag [3] von Anibal Sacco und Alfredo A. Ortega auf Blackhat-Konferenz zeigt: Die Software lässt sich leicht für andere Zwecke missbrauchen. Die Referenten kamen auf das Problem, als sie testweise selbst ein Rootkit im Bios installieren wollten.

Der »Computrace LoJack«-Agent von Absolute Software modifiziert beim Booten direkt das Datei-System, um sich zu installieren. (Quelle: Anibal Sacco und Alfredo A. Ortega)

Der Agent installiert sich selbst als Service beim Booten des Betriebssystems. Sobald dieser läuft, baut er ähnlich wie bei RPC (Remote-Procedure-Call) über Http eine Verbindung mit einem Server auf. Eine Authentifizierung findet aber nicht statt. Außerdem kann jeder mit genügend Rechten den Agenten aktivieren und die Konfiguration lässt auch durch jeden ändern. Anti-Virus-Engines sehen den Agenten nicht als verdächtig an. Da eine URL als Zieladresse implementiert ist, lässt sich diese per Hosts-Redirection umleiten. Schließlich hat Absolute nach Angaben der Referenten Vereinbarungen mit Strafverfolgungsbehörden.

So lässt sich feststellen, ob Rootkit-Agent dem Laptop arbeitet: Es existieren im System32-Verzeichnis von Windows die Dateien »rpcnet.exe« und rpcnetp.exe«. Ein weiterer Punkt ist der Service »Remote Procedure Call (RPC) net« ohne eine Beschreibung. Auch ein Hinweis sind ausgehende Verbindungen zu der URL »search.namequery.com«.

Um den Agenten zu deaktivieren, ist einmal eine Hosts-File-Redirection möglich. Weiter lässt sich das Bios modifizieren – wird aber nur bei unsignierten Bios empfohlen. Auch über eine Änderung des Konfigurations-Blocks ist es möglich.

Um den Agenten zum Einsatz zu bringen, lädt das »Computrace Loader Module« das »Agent Installation Module«. Dieses installiert sich unter anderem bei den Betriebssystemen Windows-NT, -2000, -XP oder -Vista. Unterstütz werden die Dateisysteme FAT, FAT32 und NTFS. Der Anti-Theft-Agent ist eine ROM-Embedded-Option im Phoenix-BIOS.t

Nach Angaben der Referenten befindet sich die Lösung von Absolute unter anderem auf Laptops von Asus, Dell, Gateway, HP Lenovo, Panasonic oder Toshiba.

[1] http://www.absolute.com/de_DE/products/lojack
[2] http://www.absolute.com/de_DE/
[3] http://www.blackhat.com/presentations/bh-usa-09/ORTEGA/BHUSA09-Ortega-DeactivateRootkit-SLIDES.pdf

Verwandte Artikel