Технологии Intel помогают троянам обходить антивирусы и фаерволы

14 Июня 10:26
Иван Николенко
ИБ-специалисты Microsoft обнаружили вредоносное ПО, которое использует специфические функции в чипсетах Intel для обхода антивирусов и фаерволов. Вредонос используют одни из лидеров хакерского мира – группировка Platinum.

Спецы из Microsoft обнаружили целое семейство вредоносного ПО, которое пользуется технологией Intel Serial-over-LAN (SOL). Оная является частью инструментария Intel Active Management Technology. Суть в том, что трафик SOL идет в обход сетевого стека локального компьютера. Разумеется, это делает его невидимым для антивирусного ПО и фаерволлов. SOL является частью Intel Management Engine (ME), который в свою очередь является отдельным процессором, встроенным в ЦП Intel, и работающим под управлением собственной операционной системы.

Немаловажно, что Intel ME работает даже когда основной процессор отключен. Если в этот момент есть сетевое подключение – есть возможность передачи данных.

Дополнительным преимуществом для хакеров стало то, что эта функция относительно мало известна даже сейчас – хотя изначально она была разработана с целью помочь системным администраторам крупных компаний управлять многочисленными парками пользовательских рабочих станций.

Active Management Technology позволяет удаленно администрировать процессоры с поддержкой технологий Intel vPro. Интерфейс AMT SOL позволяет даже в отключенном состоянии передавать данные по протоколу TCP. И хотя функции AMT SOL по умолчанию отключены, что снижает степень риска, но системный администратор может их задействовать, что обычно и происходит в крупных компаниях. С учетом этого и был написан код, позволяющий красть данные через SOL.

В Microsoft заявили, что их решение Windows Defender ATP может отличать легитимный трафик, идущий через AMT SOL, от нелегитимного, а значит и попытки использовать этот канал для целевых атак.

По мнению Microsoft, это ПО создала известная группировка, активно занимающаяся шпионажем в Южной и Юго-Восточной Азии — Platinum. Начиная с 2009 г. они не раз демонстрировали изощренные атаки. Есть мнение, что за ней стоит одно из государств – если судить по уровню подготовки и материальному обеспечению группировки.

В Platinum даже создали собственную технологию Microsoft Hotpatching для установки вредоносного ПО на персональные компьютеры. А описываемый в статье сценарий стал первыми наблюдаемыми попытками использовать Intel AMT SOL для вывода данных. Так что в Platinum свое дело явно знают.

Самым неприятным в этой истории является то, что в данном случае используется не какая-то программная уязвимость, а архитектурная особенность. Это делает ситуацию намного опаснее и усложняет борьбу с угрозой.  

 

Материалы по теме:

Комментарии: