Microsoft heeft aangetoond hoe hacken van de groep Platina misbruik van Intel AMT Serial over LAN voor onzichtbare communicatie.
Afbeelding: Microsoft
Microsoft heeft ontdekt dat er een groep van geavanceerde hackers het oproepen Platinum met behulp van de Intel Active Management Technology (AMT) Serial over LAN (SOL) te verbergen communicatie van de firewall.
AMT is opgenomen in Intel ‘ s netwerk chipset voor de ondersteuning van extern management. Een van de functies, AMT-SOL, creëert een virtuele seriële poort die kan worden gebruikt voor het verzenden en ontvangen van gegevens uit een geverifieerde management console.
Het is een krachtig instrument dat kan, bijvoorbeeld, worden gebruikt om te scrollen met de muis of het navigeren van Windows, zelfs als een PC-netwerk stuurprogramma ‘ s zijn uitgeschakeld, zolang het apparaat nog is aangesloten op het netwerk.
Microsoft malware onderzoekers vonden dat Platinum onlangs aangenomen AMT-SOL als onderdeel van een file-transfer tool voor het maken van de mededelingen “onzichtbaar” is met een firewall en netwerk monitoring toepassingen.
Als Microsoft legt uit, de malware misbruik AMT Serial over LAN ‘ s manier van communiceren met de management console. In plaats van communicatie passeren van de host van de netwerk stack, waar een firewall kan dit verkeer blokkeren, SOL verkeer wordt omgeleid naar de AMT-chipset en virtual serial driver.
Intel en Microsoft bevestigd dat de malware niet misbruik maken van een kwetsbaarheid in AMT SOL, maar misbruik maakt van de functie binnen al aangetast netwerken. De functie vereist ook dat de aanvaller al beheerdersrechten hebben op gerichte systemen.
Het is de eerste keer dat Microsoft heeft waargenomen eventuele hackers met AMT SOL op deze manier en het is alleen maar waargenomen op een handvol van computers.
Het zuiniger gebruik van deze malware is in overeenstemming met Platina geavanceerde aanvaller profiel. De groep is in actie op zijn minst 2009, en meestal spearphishes doelen, die meestal zijn Isp ‘ s, de overheid en defensie-organisaties in zuidoost-Azië.
De groep gebruikt de ‘hot-patching’, of het patchen van actief uitvoeren van processen, mantel aangepaste backdoors al geplant in Pc ‘ s. Ze hebben ook een aantal van keyloggers en gegevens stealers in hun toolkit en gebruikte zero-day exploits tegen slachtoffers.
Microsoft merkt op dat SOL-functionaliteit vereist dat AMT is ingericht op een apparaat, terwijl een SOL sessie ook een gebruikersnaam en wachtwoord vereist.
Dus, ofwel Platinum reeds heeft verworven deze referenties om te beginnen met een sessie of Platina zelf aangebrachte AMT op gerichte systemen na het behalen van administratieve privileges voor dat systeem en het gebruik van host-gebaseerde provisioning.
“De meest eenvoudige is de host gebaseerde provisioning (HBP), dat kan worden gedaan vanuit de host van Windows OS zelf en vereist administrator-machtigingen. Tijdens het inrichtingsproces, Platina kon kiezen welke gebruikersnaam en wachtwoord zij dat willen,” Microsoft opmerkingen.
Linux-computers met Intel-chips kunnen ook worden blootgesteld aan deze malware. Microsoft opmerkingen de techniek die gebruikt wordt door Platinum is OS onafhankelijk. Microsoft ‘s Windows Defender ATP kan een waarschuwing netwerken beheerders in staat om kwaadaardige pogingen om met behulp van AMT SOL, maar alleen voor Windows-Pc’ s.
Meer over Microsoft en Windows security
Blauw scherm van de dood gered Windows XP WannaCry ransomware, zeggen de veiligheid researchersDespite veiligheidsrisico ‘ s, oudere Windows-versies pest duizenden businessesApple, Windows technische ondersteuning oplichting: ONS pakt op nep-security alertsMicrosoft eindelijk correcties ‘kritische’ Windows-lek na patch delayA eenvoudig bestandsnamen bug crashen van Windows 8.1 en earlierCIA ‘ s van Windows XP naar Windows malware 10: WikiLeaks onthult Athena