Καλησπέρα,
Αγόρασα ένα λάπτοπ από το Πλαίσιο, ένα από τα κλασσικά Turbo-X ναι μεν χαμηλής ποιότητας, αλλά έχει τα διπλά χαρακτηριστικά από τον ανταγωνισμό στην ίδια τιμή. Όταν με ρώτησαν για λειτουργικό, επέλεξα τα Windows 8 γιατί θα τρέχουν dual-boot με το βασικό μου Linux λειτουργικό.
Μετά την αγορά του λάπτοπ, κάθισα να το “καθαρίσω” από την σαβούρα του Πλαισίου και της Microsoft. Όπως κοιτούσα τα services παρατήρησα ένα ύποπτο “Remote Procedure Call Net” κάτι που μοιάζει με το “RPC” service αλλά με κοτσαρισμένο το “Net” στο τέλος. Γρήγορα reboot στο Linux και mount το partition για να το κοιτάξω πιο διεξοδικά.
Ταυτόχρονα λίγο γοογλάρισμα αποκάλυψε κάτι ανησυχητικό. Σε αρκετά Lenovo και DELL λάπτοπ, υπάρχει ένα rootkit προ-εγκατεστιμένο, σε συνεργασία με μια εταιρεία Computrace. Το λογισμικό εκμεταλλεύεται ένα χαρακτηριστικό του BIOS να περιέχει εκτελέσιμο κώδικα που παρακάμπτει ΤΑ ΠΑΝΤΑ και να έχει πλήρη πρόσβαση στα Windows. Έτσι “τρέχει” για πάντα, όσο φορμάτ/re-install και να κάνω, εκτός και αν φλασάρω το BIOS.
Δήθεν το rootkit τους είναι για εταιρικά λάπτοπ επί πληρωμή, όπου τα παρακολουθούν μην τυχών και κλαπούν. Μετά από ανάλυση των αρχείων, έβαλα ένα transparent proxy και κατέγραψα τα πακέτα πληροφοριών που στέλνει η rootkit εφαρμογή της Computrace τα δεδομένα που στέλνει είναι ανησυχητικά (κάνει μέχρι και update τον εαυτό του).
Το συγκεκριμένο rootkit έχει ήδη αναλυθεί αρκετές φορές και υπάρχει μεγάλη και κακή κριτική για το τι κάνει πίσω από την πλάτη μου. Ένα παράδειγμα:
https://www.blackhat.com/presentations/bh-usa-09/ORTEGA/BHUSA09-Ortega-DeactivateRootkit-PAPER.pdf
Ήθελα να αναφέρω αυτά που ανακάλυψα σε ένα λάπτοπ Turbo-X του Πλαισίου, ως προειδοποίηση. Εγώ κατάφερα να το απενεργοποιήσω στα Windows έτσι από πείσμα, βέβαια εκεί που κάνω σοβαρή δουλειά είναι στο Linux όπου εκεί δεν τρέχει το loader του rootkit.
Αναμένω τα σχόλια σας.
Ευχαριστώ.
- Τώρα είναι 05 Ιούλ 2025, 21:14 • Όλοι οι χρόνοι είναι UTC + 2 ώρες
BIOS Rootkit σε λάπτοπ από το Πλαίσιο
3 Δημοσιεύσεις
• Σελίδα 1 από 1
BIOS Rootkit σε λάπτοπ από το Πλαίσιο
από MasterBelow » 25 Δεκ 2015, 01:44
- MasterBelow
- Δημοσιευσεις : 2
Re: BIOS Rootkit σε λάπτοπ από το Πλαίσιο
από Volga » 28 Δεκ 2016, 23:11
Ενδιαφέρον και συνάμα τραγικό.
Ποια motherboard είχε πάνω αυτό το καμάρι;
Ποια motherboard είχε πάνω αυτό το καμάρι;
-
Volga - Δημοσιευσεις : 174
από MasterBelow » 28 Δεκ 2016, 23:53
Που το ξέθαψες αυτό.. 
Είναι όλα τα "turbo-x" του πλαισίου, καθώς είναι στην πραγματικότητα OEM μάρκας CLEVO (το γράφει ότι είναι CLEVO και στο αυτοκόλλητο από κάτω).
Το πέταξα και προχώρησα σε HP λαπτόπι από τότε.
Είναι όλα τα "turbo-x" του πλαισίου, καθώς είναι στην πραγματικότητα OEM μάρκας CLEVO (το γράφει ότι είναι CLEVO και στο αυτοκόλλητο από κάτω).
Το πέταξα και προχώρησα σε HP λαπτόπι από τότε.
- MasterBelow
- Δημοσιευσεις : 2
3 Δημοσιεύσεις
• Σελίδα 1 από 1
Μελη σε συνδεση
Μέλη σε αυτή την Δ. Συζήτηση : Δεν υπάρχουν εγγεγραμμένα μέλη και 1 επισκέπτης