Tin tặc lợi dụng công cụ quản lý của Intel để vượt qua tường lửa của Windows

14:56 | 30/06/2017 | LỖ HỔNG ATTT

Microsoft vừa công bố chi tiết một kỹ thuật tinh vi mà một nhóm tin tặc ở Đông Nam Á sử dụng để thông qua công cụ quản lý hợp lệ để qua mặt tường lửa và các hệ thống giám sát mạng dựa vào thiết bị đầu cuối.

Nhóm này được Microsoft đặt tên là PLATINUM, đã phát triển một hệ thống gửi tệp tới các máy tính bị lây nhiễm, chẳng hạn như các hành động phá hoại mới hay một phiên bản mới của mã độc. Kỹ thuật của PLATINUM hoạt động bằng cách lợi dụng Active Management Technology (AMT) của Intel để vượt qua tường lửa có sẵn của Windows. Phần mềm nhúng (firmware) của AMT chạy ở mức thấp, bên dưới hệ điều hành và có thể truy xuất tới cả bộ vi xử lý và giao tiếp mạng.

AMT cần truy cập mức thấp như vậy là để phục vụ những mục đích rất hợp lệ. Ví dụ như nó có thể khởi động máy và thực hiện các chức năng KVM (keyboard/video/mouse) dựa trên IP, cho phép một người ở xa gửi các thao tác chuột và bàn phím tới máy tính đồng thời nhìn thấy những thứ hiển thị trên màn hình. Những khả năng này dùng cho các tác vụ như cài đặt hệ điều hành cho máy tính mới từ xa. Để làm được điều đó, AMT không chỉ cần truy cập giao tiếp mạng mà còn cần giả lập phần cứng, chẳng hạn chuột và bàn phím, để cung cấp đầu vào cho hệ điều hành.

Những hoạt động mức thấp này khiến AMT trở thành điểm yếu dễ bị khai thác cho tin tặc. Lưu lượng mạng mà AMT sử dụng được xử lý hoàn toàn bên trong AMT. Lưu lượng mạng đó không bao giờ đi qua các tầng IP của hệ điều hành và vì thế trở nên vô hình với tường lửa và các phần mềm giám sát mạng. Phần mềm của nhóm PLATINUM dùng cổng serial ảo do AMT cung cấp để tạo ra kết nối giữa mạng và mã độc chạy trong máy tính bị lây nhiễm.

Giao tiếp giữa các máy tính sử dụng serial-over-LAN do phần mềm nhúng của AMT xử lý. Mã độc kết nối tới cổng serial ảo của AMT để gửi và nhận dữ liệu. Trong khi đó, hệ điều hành và tường lửa không hề hay biết. Bằng cách này, mã độc của PLATINUM có thể chuyển các tệp giữa những máy tính trong mạng mà không bị phát hiện.

Tin tặc lợi dụng công cụ quản lý của Intel để vượt qua tường lửa của Windows

Gần đây có thông tin về lỗ hổng cho phép kẻ xấu sử dụng các tính năng của AMT mà không cần biết mật khẩu AMT. Điều này có thể dùng để bật các tính năng như KVM từ xa để kiểm soát các hệ thống và thực thi các lệnh trên đó. Tuy nhiên, nhóm PLATINUM không thực hiện theo cách này. Mã độc của nhóm không lợi dụng bất kỳ lỗi nào của AMT mà chỉ sử dụng AMT đúng như cách nó được thiết kế để thực hiện những hoạt động xấu.

Cả mã độc của PLATINUM và lỗi bảo mật của AMT đều cần ẢMT được kích hoạt trước. Nhưng Microsoft không chắc chắn về việc mã độc của PLATINUM có thể tự kích hoạt AMT hay không. Nếu mã độc có quyền quản trị, nó có thể kích hoạt các tính năng của AMT từ trong Windows, ngược lại nếu AMT đã được kích hoạt trước thì mã độc phải đánh cắp được thông tin đăng nhập.

Dù việc sử dụng AMT để truyền các tệp mà không bị tường lửa phát hiện nhưng điều đó không có nghĩa là không thể bị phát hiện. Việc sử dụng cổng serial của AMT vẫn có thể bị phát hiện. Microsoft cho biết giải pháp Windows Defender Advanced Threat Protection của họ có thể phân biệt việc sử dụng serial-over-LAN hợp pháp và bất hợp pháp. Mặc dù vậy, cách thực hiện của nhóm PLATINUM vẫn là một cách làm tinh vi, có thể qua mặt những biện pháp bảo vệ phổ biến mà chúng ta vẫn dùng để ngăn chặn các hoạt động phi pháp.

‹ › ×

Tin liên quan

Hàng triệu thiết bị có nguy cơ bị tấn công qua lỗ hổng nghiêm trọng trong bộ vi xử lý của Intel

08:00 | 29/11/2017

Vài tháng qua, một số nhóm nghiên cứu đã phát hiện các lỗ hổng trong tính năng quản trị từ xa của Intel được gọi là Management Engine (ME), có thể cho phép kẻ tấn công từ xa kiểm soát hoàn toàn máy tính mục tiêu.

Lựa chọn giải pháp tường lửa cho doanh nghiệp

08:00 | 19/06/2018

Tường lửa (firewall) là một trong những giải pháp đảm bảo an toàn thông tin phổ biến trong các đơn vị/tổ chức. Tuy nhiên, việc lựa chọn sao cho phù hợp và hiệu quả nhất là một vấn đề mà không phải đơn vị/tổ chức nào cũng nắm được. Bài báo này đưa ra những hướng dẫn để lựa chọn những giải pháp tường lửa thích hợp, nhằm đảm bảo an toàn thông tin một cách tốt nhất cho đơn vị/tổ chức và cung cấp danh sách các rủi ro phải đánh giá trước khi quyết định sử dụng giải pháp tường lửa nào đi kèm.

Tin cùng chuyên mục

Lỗ hổng mới trong ngôn ngữ lập trình R cho phép thực thi mã tùy ý

14:00 | 10/05/2024

Một lỗ hổng bảo mật mới được phát hiện trong ngôn ngữ lập trình R, có thể bị kẻ tấn công khai thác để tạo tệp RDS (R Data Serialization) độc hại dẫn đến việc thực thi mã tùy ý khi được tải và tham chiếu.

Gia tăng các hình thức lừa đảo trực tuyến

09:00 | 19/04/2024

Theo nhận định của Cục An toàn thông tin (Bộ Thông tin và Truyền thông), trong thời gian gần đây các chiêu trò lừa đảo trực tuyến ngày càng gia tăng với các hình thức tinh vi hơn. Điều này khiến cho nhiều người dân khó nhận biết để phòng tránh nguy cơ mất an toàn thông tin.

Khám phá Trojan ngân hàng Coyote

07:00 | 11/03/2024

Mới đây, các nhà nghiên cứu của hãng bảo mật Kaspersky (Nga) đã phát hiện một Trojan ngân hàng tinh vi mới đánh cắp thông tin tài chính nhạy cảm có tên là Coyote, mục tiêu là người dùng của hơn 60 tổ chức ngân hàng, chủ yếu từ Brazil. Điều chú ý là chuỗi lây nhiễm phức tạp của Coyote sử dụng nhiều kỹ thuật tiên tiến khác nhau, khiến nó khác biệt với các trường hợp lây nhiễm Trojan ngân hàng trước đó. Phần mềm độc hại này sử dụng trình cài đặt Squirrel để phân phối, tận dụng NodeJS và ngôn ngữ lập trình đa nền tảng tương đối mới có tên Nim làm trình tải (loader) trong chuỗi lây nhiễm. Bài viết này sẽ phân tích hoạt động và khám phá khả năng của Trojan ngân hàng này.

Phân tích chiến dịch gián điệp mạng Sea Turtle của tin tặc Thổ Nhĩ Kỳ

13:00 | 23/01/2024

Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet (ISP), nhà cung cấp dịch vụ công nghệ thông tin và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới do nhóm tin tặc có tên gọi là Sea Turtle thực hiện. Nhóm này hoạt động với động cơ chính trị nhằm thu thập thông tin tình báo phù hợp với những lợi ích của Thổ Nhĩ Kỳ. Bài viết này sẽ cùng phân tích về các hoạt động của nhóm tin tặc này và các kỹ thuật trong chiến dịch mới nhất, dựa trên báo cáo điều tra của công ty an ninh mạng Hunt&Hackett (Hà Lan).