Tin tặc lợi dụng công cụ quản lý của Intel để vượt qua tường lửa của Windows

14:56 | 30/06/2017 | LỖ HỔNG ATTT

Microsoft vừa công bố chi tiết một kỹ thuật tinh vi mà một nhóm tin tặc ở Đông Nam Á sử dụng để thông qua công cụ quản lý hợp lệ để qua mặt tường lửa và các hệ thống giám sát mạng dựa vào thiết bị đầu cuối.

Nhóm này được Microsoft đặt tên là PLATINUM, đã phát triển một hệ thống gửi tệp tới các máy tính bị lây nhiễm, chẳng hạn như các hành động phá hoại mới hay một phiên bản mới của mã độc. Kỹ thuật của PLATINUM hoạt động bằng cách lợi dụng Active Management Technology (AMT) của Intel để vượt qua tường lửa có sẵn của Windows. Phần mềm nhúng (firmware) của AMT chạy ở mức thấp, bên dưới hệ điều hành và có thể truy xuất tới cả bộ vi xử lý và giao tiếp mạng.

AMT cần truy cập mức thấp như vậy là để phục vụ những mục đích rất hợp lệ. Ví dụ như nó có thể khởi động máy và thực hiện các chức năng KVM (keyboard/video/mouse) dựa trên IP, cho phép một người ở xa gửi các thao tác chuột và bàn phím tới máy tính đồng thời nhìn thấy những thứ hiển thị trên màn hình. Những khả năng này dùng cho các tác vụ như cài đặt hệ điều hành cho máy tính mới từ xa. Để làm được điều đó, AMT không chỉ cần truy cập giao tiếp mạng mà còn cần giả lập phần cứng, chẳng hạn chuột và bàn phím, để cung cấp đầu vào cho hệ điều hành.

Những hoạt động mức thấp này khiến AMT trở thành điểm yếu dễ bị khai thác cho tin tặc. Lưu lượng mạng mà AMT sử dụng được xử lý hoàn toàn bên trong AMT. Lưu lượng mạng đó không bao giờ đi qua các tầng IP của hệ điều hành và vì thế trở nên vô hình với tường lửa và các phần mềm giám sát mạng. Phần mềm của nhóm PLATINUM dùng cổng serial ảo do AMT cung cấp để tạo ra kết nối giữa mạng và mã độc chạy trong máy tính bị lây nhiễm.

Giao tiếp giữa các máy tính sử dụng serial-over-LAN do phần mềm nhúng của AMT xử lý. Mã độc kết nối tới cổng serial ảo của AMT để gửi và nhận dữ liệu. Trong khi đó, hệ điều hành và tường lửa không hề hay biết. Bằng cách này, mã độc của PLATINUM có thể chuyển các tệp giữa những máy tính trong mạng mà không bị phát hiện.

Tin tặc lợi dụng công cụ quản lý của Intel để vượt qua tường lửa của Windows

Gần đây có thông tin về lỗ hổng cho phép kẻ xấu sử dụng các tính năng của AMT mà không cần biết mật khẩu AMT. Điều này có thể dùng để bật các tính năng như KVM từ xa để kiểm soát các hệ thống và thực thi các lệnh trên đó. Tuy nhiên, nhóm PLATINUM không thực hiện theo cách này. Mã độc của nhóm không lợi dụng bất kỳ lỗi nào của AMT mà chỉ sử dụng AMT đúng như cách nó được thiết kế để thực hiện những hoạt động xấu.

Cả mã độc của PLATINUM và lỗi bảo mật của AMT đều cần ẢMT được kích hoạt trước. Nhưng Microsoft không chắc chắn về việc mã độc của PLATINUM có thể tự kích hoạt AMT hay không. Nếu mã độc có quyền quản trị, nó có thể kích hoạt các tính năng của AMT từ trong Windows, ngược lại nếu AMT đã được kích hoạt trước thì mã độc phải đánh cắp được thông tin đăng nhập.

Dù việc sử dụng AMT để truyền các tệp mà không bị tường lửa phát hiện nhưng điều đó không có nghĩa là không thể bị phát hiện. Việc sử dụng cổng serial của AMT vẫn có thể bị phát hiện. Microsoft cho biết giải pháp Windows Defender Advanced Threat Protection của họ có thể phân biệt việc sử dụng serial-over-LAN hợp pháp và bất hợp pháp. Mặc dù vậy, cách thực hiện của nhóm PLATINUM vẫn là một cách làm tinh vi, có thể qua mặt những biện pháp bảo vệ phổ biến mà chúng ta vẫn dùng để ngăn chặn các hoạt động phi pháp.

‹ › ×

Tin liên quan

Hàng triệu thiết bị có nguy cơ bị tấn công qua lỗ hổng nghiêm trọng trong bộ vi xử lý của Intel

08:00 | 29/11/2017

Vài tháng qua, một số nhóm nghiên cứu đã phát hiện các lỗ hổng trong tính năng quản trị từ xa của Intel được gọi là Management Engine (ME), có thể cho phép kẻ tấn công từ xa kiểm soát hoàn toàn máy tính mục tiêu.

Lựa chọn giải pháp tường lửa cho doanh nghiệp

08:00 | 19/06/2018

Tường lửa (firewall) là một trong những giải pháp đảm bảo an toàn thông tin phổ biến trong các đơn vị/tổ chức. Tuy nhiên, việc lựa chọn sao cho phù hợp và hiệu quả nhất là một vấn đề mà không phải đơn vị/tổ chức nào cũng nắm được. Bài báo này đưa ra những hướng dẫn để lựa chọn những giải pháp tường lửa thích hợp, nhằm đảm bảo an toàn thông tin một cách tốt nhất cho đơn vị/tổ chức và cung cấp danh sách các rủi ro phải đánh giá trước khi quyết định sử dụng giải pháp tường lửa nào đi kèm.

Tin cùng chuyên mục

Phần mềm độc hại WogRAT mới lợi dụng Notepad trực tuyến để lưu trữ và phân phối mã độc

08:00 | 12/03/2024

Mới đây, các nhà nghiên cứu từ Trung tâm Ứng phó khẩn cấp bảo mật AhnLab - ASEC (Hàn Quốc) phát hiện phần mềm độc hại mới có tên WogRAT, đang được các tác nhân đe dọa triển khai trong các cuộc tấn công lạm dụng nền tảng Notepad trực tuyến có tên là aNotepad để bí mật lưu trữ và truy xuất mã độc trên cả Windows và Linux.

Phân tích chiến dịch gián điệp mạng Sea Turtle của tin tặc Thổ Nhĩ Kỳ

13:00 | 23/01/2024

Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet (ISP), nhà cung cấp dịch vụ công nghệ thông tin và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới do nhóm tin tặc có tên gọi là Sea Turtle thực hiện. Nhóm này hoạt động với động cơ chính trị nhằm thu thập thông tin tình báo phù hợp với những lợi ích của Thổ Nhĩ Kỳ. Bài viết này sẽ cùng phân tích về các hoạt động của nhóm tin tặc này và các kỹ thuật trong chiến dịch mới nhất, dựa trên báo cáo điều tra của công ty an ninh mạng Hunt&Hackett (Hà Lan).

Phân tích LitterDrifter: Worm độc hại được tin tặc Nga sử dụng trong các cuộc tấn công gián điệp mạng nhắm vào Ukraine

14:00 | 23/11/2023

Mới đây, các nhà nghiên cứu của hãng bảo mật Check Point đã phát hiện chiến dịch gián điệp mạng được thực hiện bởi nhóm tin tặc Gamaredon có liên hệ với Cơ quan An ninh Liên bang Nga (FSB), bằng cách sử dụng một loại Worm lây lan qua thiết bị USB có tên là LitterDrifter trong các cuộc tấn công nhắm vào các thực thể tại Ukraine. Bài viết này tập trung vào phân tích LitterDrifter cũng như cơ sở hạ tầng của máy chủ điều khiển và kiểm soát (C2) của phần mềm độc hại này.