Следующая новость
Предыдущая новость

Хакеры используют Intel AMT SOL для обхода файрволов

Хакеры используют Intel AMT SOL для обхода файрволов

Еще в 2016 году специалисты компании Microsoft рассказали об обнаружении новой APT-группы Platinum. Тогда сообщалось, что группировка активна как минимум с 2009 года и атакует в основном организации в странах Южной и Юго-восточной Азии.

Теперь исследователи Microsoft представили новый отчет, согласно которому, хакеры Platinum используют аппаратную технологию Intel Active Management Technology (AMT) Serial-over-LAN (SOL) для обхода файрволлов.

Специалисты поясняют, что Intel AMT SOL является частью Intel ME (Management Engine) – подсистемы, встроенной во все современные решения Intel. Intel ME продолжает работать даже тогда, когда основной процессор отключен, и разработчики Intel предполагали, что это будет удобно для организации удаленного доступа в крупных компаниях, с большим парком устройств.

Так как интерфейс AMT SOL работает внутри Intel ME, он отделен от обычной операционной системы, где запущены файрволы и другие защитные решения. Фактически SOL работает все время, даже без ОС, когда устройство выключено, представляя виртуальный последовательный порт и позволяя принимать или получать данные. Не поможет и отключение всех сетевых функций, так как ME использует собственный сетевой стек, устройство продолжит вести себя так, будто подключено к сети.

Хакеры используют Intel AMT SOL для обхода файрволов
Как работает AMT SOL

Хотя по умолчанию Intel AMT SOL отключен во всех продуктах Intel, зачастую системные администраторы активируют данную функцию, чем и стали пользоваться хакеры. При этом специалисты Microsoft сообщают, что группировка Platinum не обнаруживала каких-либо уязвимостей и способов активации Intel AMT SOL, в основном злоумышленники просто атакуют машины, где функция уже включена.

Злоумышленники адаптировали свой кастомный инструмент передачи данных для использования с Intel AMT SOL, что позволяет им оставаться незамеченными для файрволов, а также других защитных и мониторинговых продуктов.

Исследователи отмечают, что для осуществления атак через SOL злоумышленникам необходимы привилегии администратора, а также знание логина и пароля, которые затребует SOL-сессия. По словам специалистов, Platinum либо уже имеют эти учетные данные на момент начала сессии, либо злоумышленники сами активируют AMT SOL в сетях уже скомпрометированных организаций.

Разработчики Microsoft сообщают, что согласно их данным, малварь Platinum – первый вредонос, который использует AMT SOL. Специалисты компании уже задействовали машинное обучение и поведенческий анализ, чтобы научить Windows Defender ATP распознавать такие атаки. По словам исследователей, теперь защитное решение предупредит системных администраторов о нелегитимном использовании AMT SOL, так как способно отличить атаку от рутинных операций.

Хакеры используют Intel AMT SOL для обхода файрволов
Windows Defender ATP обнаружил странную активность AMT SOL

Источник

Последние новости