恶意程序利用英特尔CPU隐藏的功能避开安全软件窃取数据

点击上方 “安全优佳” 可以订阅哦！

近日，微软的安全团队遇到了一个使用英特尔主动管理技术（AMT）Serial-over-LAN（SOL）接口的文件传输工具，该程序存在窃取用户数据的行为。由于英特尔AMT SOL技术的运行方式，SOL流量绕过了本地计算机的网络堆栈，因此本地防火墙和安全防护软件在面对主机中数据被泄露时将无法检测或阻止恶意软件。

英特尔AMT SOL暴露隐藏的网络接口

由于英特尔AMT SOL是英特尔ME（管理引擎）的一部分，英特尔ME（管理引擎）是嵌入了英特尔CPU的独立处理器，它运行着自己的操作系统。即使在主处理器断电的情况下，英特尔ME也能运行，虽然这个功能看起来相当黑暗，但是英特尔还是建立了ME来为管理大型数千台计算机网络的公司提供远程管理功能。在ME组件堆栈中，AMT为Intel vPro处理器和芯片组提供远程管理功能。AMT SOL是Intel AMT远程管理功能的Serial-over-Lan接口，可通过TCP公开虚拟串行接口。由于AMT SOL接口在Intel ME内部运行，因此它与防火墙和操作系统的防护软件是相互独立的的。

此外，由于它运行在Intel ME内部，即使PC关闭，AMT SOL接口仍然保持运行，计算机仍然与物理上的网络连接，使Intel ME引擎能够通过TCP发送或接收数据。

网络间谍组织使用英特尔AMT SOL处理其恶意软件

好消息是英特尔AMT SOL默认在所有英特尔CPU上禁用，这意味着PC所有者或本地系统管理员必须手动启用此功能。坏消息是，微软发现了一个网络间谍组织制造的恶意软件，它滥用了Intel AMT SOL界面来窃取受感染计算机上的数据。微软没有说这些国家资助的黑客是否发现了一种在受感染主机并启用此功能的特殊途径。

该功能被恶意软件利用并在南亚和东南亚的组织和政府机构广泛传播。据悉，部署这种恶意软件的开发者是PLATINUM。

PLATINUM是世界上规模比较大的黑客组织

PLATINUM是迄今为止发现的最复杂的黑客组织之一。去年，微软在之前的一份报告中称，该组织正在通过滥用hotpatching来安装恶意软件 ，其运行机制是通过让微软发布更新，进入活动进程，升级应用程序或操作系统，而无需重新启动计算机。使用Intel AMT SOL是以前从未见过的，而PLATINUM的恶意软件是第一个使用它的。

英特尔AMT SOL由于其隐形功能而被使用

一般来说，网络间谍团体对电脑中隐藏的内容感兴趣，所以AMT SOL的防火墙绕开机制是黑客组织决定部署恶意软件的主要原因。幸运的是，微软表示他们能够识别恶意软件操作中的进程，这将允许Windows Defender ATP安全产品在访问并启动AMT SOL界面之前对其进行检测。这将给用户提供了一个警告，即他们可能已经感染了恶意软件。

英特尔在与微软联系时表示，PLATINUM集团没有在英特尔AMT SOL界面上使用任何漏洞，但这是另一个案例则证明，他们已经利用了这个合法的技术来做坏事。

安全优佳

http://news.secwk.com

长按识别左侧二维码，关注我们