Технологии Intel помогают троянам обходить антивирусы и фаерволы
Спецы из Microsoft обнаружили целое семейство вредоносного ПО, которое пользуется технологией Intel Serial-over-LAN (SOL). Оная является частью инструментария Intel Active Management Technology. Суть в том, что трафик SOL идет в обход сетевого стека локального компьютера. Разумеется, это делает его невидимым для антивирусного ПО и фаерволлов. SOL является частью Intel Management Engine (ME), который в свою очередь является отдельным процессором, встроенным в ЦП Intel, и работающим под управлением собственной операционной системы.
Немаловажно, что Intel ME работает даже когда основной процессор отключен. Если в этот момент есть сетевое подключение – есть возможность передачи данных.
Дополнительным преимуществом для хакеров стало то, что эта функция относительно мало известна даже сейчас – хотя изначально она была разработана с целью помочь системным администраторам крупных компаний управлять многочисленными парками пользовательских рабочих станций.
Active Management Technology позволяет удаленно администрировать процессоры с поддержкой технологий Intel vPro. Интерфейс AMT SOL позволяет даже в отключенном состоянии передавать данные по протоколу TCP. И хотя функции AMT SOL по умолчанию отключены, что снижает степень риска, но системный администратор может их задействовать, что обычно и происходит в крупных компаниях. С учетом этого и был написан код, позволяющий красть данные через SOL.
В Microsoft заявили, что их решение Windows Defender ATP может отличать легитимный трафик, идущий через AMT SOL, от нелегитимного, а значит и попытки использовать этот канал для целевых атак.
По мнению Microsoft, это ПО создала известная группировка, активно занимающаяся шпионажем в Южной и Юго-Восточной Азии — Platinum. Начиная с 2009 г. они не раз демонстрировали изощренные атаки. Есть мнение, что за ней стоит одно из государств – если судить по уровню подготовки и материальному обеспечению группировки.
В Platinum даже создали собственную технологию Microsoft Hotpatching для установки вредоносного ПО на персональные компьютеры. А описываемый в статье сценарий стал первыми наблюдаемыми попытками использовать Intel AMT SOL для вывода данных. Так что в Platinum свое дело явно знают.
Самым неприятным в этой истории является то, что в данном случае используется не какая-то программная уязвимость, а архитектурная особенность. Это делает ситуацию намного опаснее и усложняет борьбу с угрозой.