首次發現使用Intel AMT工具繞過防火墻竊取數據的惡意軟件
然而,一個名為鉑金“至少自2009年以來,該公司一直在積極針對政府組織、國防機構和電信提供商,并找到了一種方法,可以在基于主機的保護機制中隱藏其惡意活動。
微軟最近發現,該網絡間諜組織現在正在利用Intel的主動管理技術(AMT)LAN串行(SOL)通道作為文件傳輸工具,在未被發現的情況下從目標計算機竊取數據。
基于英特爾的芯片組附帶了一種名為AMT的嵌入式技術,該技術旨在讓IT管理員遠程管理和維修其組織的PC、工作站和服務器。
英特爾AMT技術獨立于操作系統運行,即使在系統關閉時也能工作,只要平臺連接到線路電源和網絡電纜。
這意味著,當啟用AMT時,發送到PC有線網絡端口的任何數據包都將重定向到管理引擎,并傳遞到AMT;操作系統以及安裝在系統上的網絡監控應用程序永遠不知道發生了什么。
此外,使用英特爾芯片和AMT的Linux系統也可能會暴露于Platinum的惡意軟件中。
“由于該嵌入式處理器獨立于英特爾主處理器,即使主處理器斷電,它也可以執行,因此能夠提供帶外(OOB)遠程管理功能,如遠程電源循環和鍵盤、視頻和鼠標控制(KVM),”微軟說。
“此外,由于SOL流量繞過主機網絡堆棧,主機設備上運行的防火墻應用程序無法阻止它。要啟用SOL功能,必須配置設備AMT。”
與上個月發現的遠程身份驗證缺陷不同,該缺陷使黑客能夠通過使用AMT功能完全控制系統,而無需任何密碼,Platinum不利用AMT中的任何缺陷,而是要求在受感染的系統上啟用AMT。
微軟指出,SOL session需要用戶名和密碼,因此黑客組織或是在使用竊取的憑據,使其惡意軟件與C&;C服務器,或“在配置過程中,PLATINUM可以選擇他們想要的用戶名和密碼。”
白金黑客集團一直在使用零日漏洞攻擊、熱補丁技術和其他先進戰術滲透其在南亞國家的目標系統和網絡,但這是首次有人濫用合法的管理工具來逃避檢測。
微軟表示,它已經更新了自己的Windows Defender高級威脅保護軟件,該軟件將提醒網絡管理員任何惡意嘗試使用AMT SOL的行為,但僅適用于運行Windows操作系統的系統。
