Tin tặc lợi dụng công cụ quản lý của Intel để vượt qua tường lửa của Windows

14:56 | 30/06/2017 | LỖ HỔNG ATTT

Microsoft vừa công bố chi tiết một kỹ thuật tinh vi mà một nhóm tin tặc ở Đông Nam Á sử dụng để thông qua công cụ quản lý hợp lệ để qua mặt tường lửa và các hệ thống giám sát mạng dựa vào thiết bị đầu cuối.

Nhóm này được Microsoft đặt tên là PLATINUM, đã phát triển một hệ thống gửi tệp tới các máy tính bị lây nhiễm, chẳng hạn như các hành động phá hoại mới hay một phiên bản mới của mã độc. Kỹ thuật của PLATINUM hoạt động bằng cách lợi dụng Active Management Technology (AMT) của Intel để vượt qua tường lửa có sẵn của Windows. Phần mềm nhúng (firmware) của AMT chạy ở mức thấp, bên dưới hệ điều hành và có thể truy xuất tới cả bộ vi xử lý và giao tiếp mạng.

AMT cần truy cập mức thấp như vậy là để phục vụ những mục đích rất hợp lệ. Ví dụ như nó có thể khởi động máy và thực hiện các chức năng KVM (keyboard/video/mouse) dựa trên IP, cho phép một người ở xa gửi các thao tác chuột và bàn phím tới máy tính đồng thời nhìn thấy những thứ hiển thị trên màn hình. Những khả năng này dùng cho các tác vụ như cài đặt hệ điều hành cho máy tính mới từ xa. Để làm được điều đó, AMT không chỉ cần truy cập giao tiếp mạng mà còn cần giả lập phần cứng, chẳng hạn chuột và bàn phím, để cung cấp đầu vào cho hệ điều hành.

Những hoạt động mức thấp này khiến AMT trở thành điểm yếu dễ bị khai thác cho tin tặc. Lưu lượng mạng mà AMT sử dụng được xử lý hoàn toàn bên trong AMT. Lưu lượng mạng đó không bao giờ đi qua các tầng IP của hệ điều hành và vì thế trở nên vô hình với tường lửa và các phần mềm giám sát mạng. Phần mềm của nhóm PLATINUM dùng cổng serial ảo do AMT cung cấp để tạo ra kết nối giữa mạng và mã độc chạy trong máy tính bị lây nhiễm.

Giao tiếp giữa các máy tính sử dụng serial-over-LAN do phần mềm nhúng của AMT xử lý. Mã độc kết nối tới cổng serial ảo của AMT để gửi và nhận dữ liệu. Trong khi đó, hệ điều hành và tường lửa không hề hay biết. Bằng cách này, mã độc của PLATINUM có thể chuyển các tệp giữa những máy tính trong mạng mà không bị phát hiện.

Tin tặc lợi dụng công cụ quản lý của Intel để vượt qua tường lửa của Windows

Gần đây có thông tin về lỗ hổng cho phép kẻ xấu sử dụng các tính năng của AMT mà không cần biết mật khẩu AMT. Điều này có thể dùng để bật các tính năng như KVM từ xa để kiểm soát các hệ thống và thực thi các lệnh trên đó. Tuy nhiên, nhóm PLATINUM không thực hiện theo cách này. Mã độc của nhóm không lợi dụng bất kỳ lỗi nào của AMT mà chỉ sử dụng AMT đúng như cách nó được thiết kế để thực hiện những hoạt động xấu.

Cả mã độc của PLATINUM và lỗi bảo mật của AMT đều cần ẢMT được kích hoạt trước. Nhưng Microsoft không chắc chắn về việc mã độc của PLATINUM có thể tự kích hoạt AMT hay không. Nếu mã độc có quyền quản trị, nó có thể kích hoạt các tính năng của AMT từ trong Windows, ngược lại nếu AMT đã được kích hoạt trước thì mã độc phải đánh cắp được thông tin đăng nhập.

Dù việc sử dụng AMT để truyền các tệp mà không bị tường lửa phát hiện nhưng điều đó không có nghĩa là không thể bị phát hiện. Việc sử dụng cổng serial của AMT vẫn có thể bị phát hiện. Microsoft cho biết giải pháp Windows Defender Advanced Threat Protection của họ có thể phân biệt việc sử dụng serial-over-LAN hợp pháp và bất hợp pháp. Mặc dù vậy, cách thực hiện của nhóm PLATINUM vẫn là một cách làm tinh vi, có thể qua mặt những biện pháp bảo vệ phổ biến mà chúng ta vẫn dùng để ngăn chặn các hoạt động phi pháp.

‹ › ×

Tin liên quan

Hàng triệu thiết bị có nguy cơ bị tấn công qua lỗ hổng nghiêm trọng trong bộ vi xử lý của Intel

08:00 | 29/11/2017

Vài tháng qua, một số nhóm nghiên cứu đã phát hiện các lỗ hổng trong tính năng quản trị từ xa của Intel được gọi là Management Engine (ME), có thể cho phép kẻ tấn công từ xa kiểm soát hoàn toàn máy tính mục tiêu.

Lựa chọn giải pháp tường lửa cho doanh nghiệp

08:00 | 19/06/2018

Tường lửa (firewall) là một trong những giải pháp đảm bảo an toàn thông tin phổ biến trong các đơn vị/tổ chức. Tuy nhiên, việc lựa chọn sao cho phù hợp và hiệu quả nhất là một vấn đề mà không phải đơn vị/tổ chức nào cũng nắm được. Bài báo này đưa ra những hướng dẫn để lựa chọn những giải pháp tường lửa thích hợp, nhằm đảm bảo an toàn thông tin một cách tốt nhất cho đơn vị/tổ chức và cung cấp danh sách các rủi ro phải đánh giá trước khi quyết định sử dụng giải pháp tường lửa nào đi kèm.

Tin cùng chuyên mục

Cơ quan an ninh mạng Hoa Kỳ cảnh báo lỗi Microsoft Streaming bị khai thác trong các cuộc tấn công mạng

13:00 | 19/03/2024

Cơ quan an ninh mạng Hoa Kỳ (CISA) đã yêu cầu các cơ quan của Chi nhánh điều hành dân sự liên bang Hoa Kỳ (FCEB) bảo mật hệ thống Windows của họ trước một lỗ hổng nghiêm trọng trong Dịch vụ phát trực tuyến của Microsoft (MSKSSRV.SYS).

Giải mã chiến dịch phân phối phần mềm độc hại PikaBot của tin tặc Water Curupia

14:00 | 01/03/2024

Các nhà nghiên cứu của hãng bảo mật Trend Micro phát hiện các tác nhân đe dọa Water Curupira (một nhánh của nhóm tin tặc Black Basta) đang triển khai chiến dịch phân phối phần mềm độc hại PikaBot như một phần của chiến dịch email spam trong suốt năm 2023 vừa qua. Bài viết này sẽ phân tích hoạt động tấn công trong chiến dịch PikaBot cùng khuyến nghị về các biện pháp phòng tránh trước các mối đe dọa lừa đảo này.

Phát hiện kỹ thuật khai thác mới cho phép kẻ tấn công vượt qua các biện pháp bảo mật

07:00 | 18/01/2024

Một kỹ thuật khai thác mới có tên là SMTP Smuggling có thể được tin tặc sử dụng để gửi email giả mạo có địa chỉ người gửi giả và vượt qua các biện pháp bảo mật.

Cảnh báo chiến dịch tấn công nhắm vào các thiết bị USB an toàn

17:00 | 21/12/2023

Mới đây, nhóm Nghiên cứu và Phân tích Toàn cầu của Kaspersky phát hiện một chiến dịch gián điệp mạng đang nhắm mục tiêu đánh cắp dữ liệu lưu trữ trên các thiết bị USB an toàn sử dụng trong các cơ quan, tổ chức chính phủ các nước Châu Á - Thái Bình dương (APAC).