Вредоносное ПО использует инструмент Intel для обхода межсетевого экрана

Вредоносное ПО злоупотребляет функцией управления чипами Intel для проникновения

Хакеры известны тем, что используют креативные и инновационные идеи для взлома системы. Однако обычно это происходит за счет обмана пользователя и/или эксплуатации уязвимостей. Этот случай утечки безопасности, однако, является редким сценарием, когда хакер использовал программное обеспечение именно так, как оно было задумано, чтобы взломать систему.

Обход межсетевого экрана

Microsoft объявила, что группа, известная под именем Platinum, использовала Технологию активного управления Intel (AMT) для полного обхода межсетевого экрана Windows. Этот инструмент доступен на машинах с процессорами и чипсетами Intel vPro. У группы есть собственный инструмент передачи файлов, который использует – для своих коммуникационных услуг – канал Serial-over-LAN (SOL) из AMT. Этот канал был разработан для работы независимо от операционной системы, установленной на машине, и, следовательно, инструмент может обойти межсетевой экран Windows, что делает его «невидимым для приложений мониторинга межсетевого экрана и сети, работающих на хост-устройстве».

Канал Serial-Over-Lan (SOL) «экспонирует виртуальное последовательное устройство с каналом, предоставленным чипсетом, по TCP» не включен по умолчанию и требует административных привилегий для фактического запуска на целевых рабочих станциях. Поскольку предоставление такого канала связано с использованием учетных данных пользователя – имени пользователя и пароля – гигант из Редмонда предполагает, что PLATINUM «могла получить скомпрометированные учетные данные из сетей жертв».

Прошивка AMT работает на низком уровне, ниже операционной системы, и имеет доступ не только к процессору, но и к сетевому интерфейсу. Программное обеспечение позволяет пользователю удаленно установить ОС на машину, на которой ее еще нет, позволяет включать и выключать устройства, а также предоставляет решение KVM (клавиатура, видео, мышь) на основе IP, чтобы пользователи могли выполнять эти задачи.

Заявления

Вот что Microsoft сказала в публичном заявлении:

Мы подтвердили, что инструмент не выявил уязвимостей в самой технологии управления, а скорее злоупотребил AMT SOL в целевых сетях, которые уже были скомпрометированы, чтобы поддерживать связь скрытной и избегать систем безопасности. Новый протокол SOL в инструменте передачи файлов PLATINUM использует API библиотеки перенаправления SDK технологии AMT (imrsdk.dll). Передача данных осуществляется с помощью вызовов IMR_SOLSendText()/IMR_SOLReceiveText(), которые аналогичны сетевым вызовам send() и recv(). Используемый протокол SOL идентичен протоколу TCP, за исключением добавления заголовка переменной длины для обнаружения ошибок. Кроме того, обновленный клиент отправляет незашифрованный пакет с содержимым «007? перед аутентификацией.

Тем не менее, не всем следует беспокоиться об этом, поскольку машины с Windows 10 версии 1607 или более поздней и Configuration Manager 1610 или более поздней считаются защищенными от этой или любой другой атаки теми же средствами. Эта конфигурация системы способна не только обнаруживать целевую активность атаки, но и «различать законное использование AMT SOL и целевые атаки, пытающиеся использовать его в качестве канала связи».

Компания также заявила, что это первая атака, использующая функции чипсета для своих целей, и она не выявляет уязвимости программного обеспечения Intel AMT, а скорее использует технологию для обхода систем безопасности в сложной и скомпрометированной сети. Microsoft также выпустила видео вместе с публичным заявлением, чтобы пользователи могли понять, как происходит атака, которое вы можете посмотреть ниже.