Исследователи Microsoft выявили семейство вредоносного ПО, которое использует в качестве средства передачи данных технологию Intel Serial-over-LAN (SOL). Эта технология является частью инструментария Intel Active Management Technology.
Трафик SOL направляется в обход сетевого стека локального компьютера, что делает его невидимым для антивирусного ПО и фаерволлов. Это связано с тем, что SOL является частью Intel Management Engine (ME), фактически отдельного процессора, встроенного в ЦП Intel и работающего под управлением собственной операционной системы.
Intel ME продолжает функционировать даже когда основной процессор отключен, и если компьютер в данный момент имеет соединение с сетями, то существует возможность передачи данных.
Эта функция разработана с целью помочь системным администраторам крупных компаний управлять обширным парком пользовательских рабочих станций.
Active Management Technology обеспечивает функции удаленного администрирования для процессоров с поддержкой технологий Intel vPro. Даже в отключенном состоянии интерфейс AMT SOL позволяет передавать данные по протоколу TCP, что открывает определенные возможности для злоупотреблений.
Функции AMT SOL деактивированы по умолчанию, задействовать их может только системный администратор. Это снижает степень риска. Но в крупных компаниях SOL довольно часто используется по назначению. Зная это, злоумышленники написали код, позволяющий красть данные через SOL.
В Microsoft утверждают, что их решение Windows Defender ATP способно различать легитимный трафик, идущий через AMT SOL, и попытки использовать этот канал для целевых атак.
Эксперты Microsoft утверждают, что за вредоносным ПО, использующим SOL для кражи данных, стоит известная группировка, которая уже несколько лет ведет активную шпионскую деятельность в Южной и Юго-Восточной Азии — Platinum.
В прошлом году было обнаружено, что члены Platinum используют собственную технологию Microsoft Hotpatching для установки вредоносного ПО на персональные компьютеры. Возможность этого активно обсуждалась и раньше. Однако никто до сих пор не наблюдал попыток использовать Intel AMT SOL для вывода данных. Хотя в Microsoft не могут сказать определенно, придумали этот метод атаки сами члены Platinum или переняли его у кого-то еще.
Трафик SOL направляется в обход сетевого стека локального компьютера, что делает его невидимым для антивирусного ПО и фаерволлов. Это связано с тем, что SOL является частью Intel Management Engine (ME), фактически отдельного процессора, встроенного в ЦП Intel и работающего под управлением собственной операционной системы.
Intel ME продолжает функционировать даже когда основной процессор отключен, и если компьютер в данный момент имеет соединение с сетями, то существует возможность передачи данных.
Эта функция разработана с целью помочь системным администраторам крупных компаний управлять обширным парком пользовательских рабочих станций.
Active Management Technology обеспечивает функции удаленного администрирования для процессоров с поддержкой технологий Intel vPro. Даже в отключенном состоянии интерфейс AMT SOL позволяет передавать данные по протоколу TCP, что открывает определенные возможности для злоупотреблений.
Функции AMT SOL деактивированы по умолчанию, задействовать их может только системный администратор. Это снижает степень риска. Но в крупных компаниях SOL довольно часто используется по назначению. Зная это, злоумышленники написали код, позволяющий красть данные через SOL.
В Microsoft утверждают, что их решение Windows Defender ATP способно различать легитимный трафик, идущий через AMT SOL, и попытки использовать этот канал для целевых атак.
Эксперты Microsoft утверждают, что за вредоносным ПО, использующим SOL для кражи данных, стоит известная группировка, которая уже несколько лет ведет активную шпионскую деятельность в Южной и Юго-Восточной Азии — Platinum.
В прошлом году было обнаружено, что члены Platinum используют собственную технологию Microsoft Hotpatching для установки вредоносного ПО на персональные компьютеры. Возможность этого активно обсуждалась и раньше. Однако никто до сих пор не наблюдал попыток использовать Intel AMT SOL для вывода данных. Хотя в Microsoft не могут сказать определенно, придумали этот метод атаки сами члены Platinum или переняли его у кого-то еще.
.png)