微软透露,名为PLATINUM(铂金)的黑客组织,利用英特尔vPro处理器和芯片集中可用的主动管理技术(AMT),简单地完全绕过了Windows防火墙。
基本上, 该黑客组织的文件传输工具主要利用的,就是AMT中的Serial-over-LAN(SOL)串口I/O重定向信道。由于该信道独立于操作系统,主机设备上运行的防火墙和网络监视应用,根本看不到它的任何通信。
需要说明的是,以芯片集提供的TCP信道暴露出虚拟串行设备的SOL,默认是禁用的,需要管理员权限才能在目标工作站上实际启用。鉴于该信道的使用与用户凭证捆绑(用户名和口令),微软推测,PLATINUM可能已经从受害网络中获取到了凭证。
AMT需要这种底层访问的原因,很大程度上与其实际功能有关。该技术允许远程安装操作系统,允许设备反复重启,提供所谓的“基于IP的KVM解决方案(KVM指键盘、视频和鼠标)以完成上述任务。
关于PLATINUM的实际使用,微软称:
我们证实,该工具并未暴露出管理技术本身的漏洞,但目标网络中被滥用的 AMT SOL ,已成为黑客隐藏通信、规避安全应用的突破口。
至于该黑客组织实现的技术细节方面,微软称:
PLATINUM文件传输工具中的新SOL协议,使用AMT技术SDK的重定向库API(imrsdk.dll)。数据交易通过调用类似send()和recv()网络函数的IMR_SOLSendText()/IMR_SOLReceiveText()接口进行。所用SOL协议与TCP协议类似,除了添加了一个可变长度的数据头部用以进行出错检测。另外,更新过的客户端会在身份验证前,发送内容为“007”的非加密数据包。
微软甚至提供了一段演示视频来展现其用法:
不过,好消息也是存在的。 Windows 10 版本1607和 Configuration Manager 1610 及以后版本的计算机,运行有 Windows Defender ATP (高级持续性威胁)服务,因而可以高枕无忧。该服务不仅可以检测类似PLATINUM的针对性攻击活动,还能区别 AMT SOL 的合法使用与试图将之用作隐秘通信信道的针对性攻击。
微软称,这是其所知此类滥用芯片集功能的首款恶意软件样本,并强调PLATINUM工具本身并没有暴露AMT漏洞,而仅仅是在网络被攻破后被用于规避安全监测工具。
本文转自d1net(转载)