Файервол Windows обойден хакерами, использующими Intel AMT

Хакеры нашли способ использовать сетевые чипы Intel для скрытия своих коммуникаций от операционной системы.


Microsoft продемонстрировала, как хакерская группа Platinum использует Intel AMT Serial-over-LAN для невидимых сообщений.

Microsoft обнаружила группу продвинутых хакеров, которую она называет Platinum, использующую технологию Active Management Technology (AMT) Serial-over-LAN (SOL) для скрытия коммуникаций от файервола.

AMT включен в сетевой чипсет Intel для поддержки возможностей удаленного управления. Одна из его функций — AMT-SOL. Она создает виртуальный последовательный порт, который может использоваться для отправки и получения данных с аутентифицированной консоли управления.

Это мощный инструмент, который можно использовать, например, для прокрутки мыши или для навигации по Windows, даже если сетевые драйверы ПК отключены, но устройство физически подключено к сети.

Исследователи вредоносных программ Microsoft обнаружили, что Platinum недавно адаптировала AMT-SOL в инструмент передачи файлов, чтобы сделать его связь «невидимой» для файервола хоста и приложений сетевого мониторинга.

Как объясняет Microsoft, вредоносное ПО эксплуатирует метод AMT Serial-over-LAN для связи с консолью управления. Вместо коммуникаций, проходящих через сетевой стек хоста, в котором файервол может блокировать этот трафик, SOL-трафик перенаправляется на чипсет AMT и виртуальный последовательный драйвер.

Компании Intel и Microsoft подтвердили, что вредоносное ПО не использует уязвимость в AMT SOL, а скорее злоупотребляет функцией в уже скомпрометированных сетях. Эта функция также требует, чтобы злоумышленник уже имел административные привилегии на целевых системах.

Microsoft впервые обнаружила хакеров, использующих AMT SOL, и данный инциндент наблюдался всего на нескольких компьютерах.

Использование этого вредоносного ПО согласуется с расширенным профилем злоумышленников из Platinum. Группа действует по-крайней мере с 2009 года и, как правило, атакует цели с помощью фишинга. В основном, это интернет-провайдеры, правительственные агентства и оборонные организации из Юго-Восточной Азии.

Группа использовала «hot patching», или исправляла активно выполняемые процессы, чтобы скрывать пользовательские бэкдоры, уже установленные на ПК. В их наборе инструментов также есть несколько клавиатурных шпионов и программ для кражи данных, и они провели несколько атак с использованием уязвимостей нулевого дня.

Microsoft отмечает, что для функциональности SOL требуется, чтобы AMT был настроен на устройстве, а для сеанса SOL также требуется имя пользователя и пароль.

Таким образом, либо Platinum приобрела эти учетные данные, чтобы начать сеанс, либо сама
Platinum установила AMT на целевые системы после получения администраторских привилегий для этой системы и использования ресурсов на основе хоста.

«Наиболее простым является предоставление ресурсов на основе хоста (HBP), которое может быть выполнено из самой операционной системы хоста с правами администратора. Во время процесса подготовки Platinum могут выбрать любое имя пользователя и пароль, которые пожелают», отмечает Microsoft.

Linux-машины с чипами Intel также могут быть подвергнуты воздействию этой вредоносной программы. Microsoft отмечает, что технология, используемая Platinum, независима от ОС.

Microsoft Windows Defender ATP может предупреждать администраторов сетей о вредоносных попытках использования AMT SOL, но только для ПК с ОС Windows.

Подпишитесь на нашу еженедельную новостную рассылку!

Все наши новости вы получите по электронной почте раз в неделю, а Ваши личные данные останутся в безопасности. При необходимости вы сможете отписаться от рассылки в любой момент и в один клик.

Электронная почта

Имя пользователя

  • editor,
  • 427
  • 0