Microsoft hat gezeigt, wie Hacker-Gruppe Platinum Missbrauch von Intel AMT-Serial-over-LAN für unsichtbare Kommunikation.
Bild: Microsoft
Microsoft hat vor einer Gruppe von fortgeschrittenen Hacker es nennt Platinum mit Intel Active Management Technology (AMT) – Serial over LAN (SOL) zu verbergen, die Kommunikation von der firewall.
AMT ist enthalten in Intel ‘ s Netzwerk-Chipsatz zur Unterstützung von remote-management-Funktionen. Eine der Funktionen, AMT-SOL, erstellt einen virtuellen seriellen port, der verwendet werden kann zum senden und empfangen von Daten von einem authentifizierten management-Konsole.
Es ist ein leistungsfähiges Werkzeug, zum Beispiel, verwendet werden, um das scrollen der Maus, oder navigieren Sie von Windows selbst, wenn ein PC-Netzwerk-Treiber deaktiviert, solange das Gerät noch physisch mit dem Netzwerk verbunden.
Microsofts malware-Forscher fanden heraus, dass Platin vor kurzem verabschiedet AMT-SOL als Teil eines Datei-transfer-tool, um seine Kommunikation “unsichtbar” an einen host-firewall und Netzwerk-monitoring-Anwendungen.
Wie Microsoft erklärt, die von malware missbraucht AMT Serial-over-LAN) die Methode der Kommunikation mit der management-Konsole. Statt Kommunikation der übergabe durch das host-Netzwerk-stack, wo eine firewall könnte blockieren den Verkehr, SOL-Verkehr wird umgeleitet, um die AMT-Chipsatz und virtuellen seriellen Treiber.
Intel und Microsoft bestätigt die malware nicht nutzen eine Sicherheitslücke im AMT SOL, sondern es missbraucht die Funktion bereits beeinträchtigt Netzwerke. Die Funktion wird auch benötigt der Angreifer bereits über administrative Berechtigungen auf bestimmten Systemen.
Es ist das erste mal, Microsoft hat beobachtet, Hacker mithilfe von AMT-SOL in dieser Weise, und es ist nur beobachtet wurde, auf eine Handvoll von Computern.
Der schonende Umgang mit dieser malware ist konsistent mit Platinum advanced Angreifer Profil. Die Gruppe wurde in Aktion mindestens 2009, und in der Regel spearphishes Ziele, die haben meist ISPs, Regierungsbehörden und Verteidigungsunternehmen in Südost-Asien.
Der Konzern hat von der Anwendung “hot-patching” oder patchen aktiv ausgeführte Prozesse, um Mantel benutzerdefinierte backdoors bereits gepflanzt in PCs. Sie haben auch eine Reihe von Keyloggern und Daten-Diebe an Ihrer Seite und haben mehrere zero-day-exploits gegen Ziele.
Microsoft stellt fest, dass SOL-Funktionalität erfordert, dass AMT bereitgestellt wurde, auf einem Gerät, während eine SOL-Sitzung auch einen Benutzernamen und Passwort verlangt.
Also, entweder Platinum hat bereits erworben, um diese Anmeldeinformationen, um eine Sitzung zu starten, oder Platinum selbst bereitgestellt AMT auf bestimmten Systemen nach der Erlangung der Administratorrechte für das system und mit host-based provisioning.
“Die einfachste ist eine host-based provisioning (HBP), die getan werden kann, innerhalb der host-Windows-Betriebssystem und erfordert administrator-Berechtigungen. Während der Bereitstellung, Platin konnte auswählen, welcher Benutzername und das Kennwort, die Sie möchten,” Microsoft Notizen.
Linux-Computern mit Intel-chips können auch ausgesetzt werden, um diese malware. Microsoft nimmt die Technik mit der Platinum ist OS unabhängig. Microsoft Windows Defender kann ATP alert Netzwerke admins auf bösartige versuche, mithilfe von AMT-SOL aber nur für Windows-PCs.
Mehr auf Microsoft und Windows Sicherheit
Blue screen of death saved Windows XP von WannaCry ransomware, sagen Sicherheit researchersDespite Sicherheitsrisiken, die von älteren Windows-Versionen Pest Tausende von businessesApple, Windows-tech-support-Betrug: US-Risse unten auf gefälschte Sicherheits-alertsMicrosoft schließlich behebt den “kritischen” Windows-Sicherheitslücke nach dem patch delayA einfache Dateibenennung Fehler kann zum Absturz von Windows 8.1 und earlierCIA Windows XP auf Windows 10 malware: WikiLeaks deckt Athena