reklama

Zapora sieciowa nic tu nie da: malware rozmawiało po wirtualnym porcie COM

Strona główna Aktualności

O autorze

Hodowca maszyn wirtualnych i psów, poza tym stary linuksiarz, bonvivant i śmieszek. W 2012 roku napisał na DP o algorytmie haszowania Keccak i wciąż pamięta, jak on działa.

Nie ma chyba drugiej takiej dziedziny informatyki równie zależnej od pomysłowości, co tworzenie złośliwego oprogramowania. Niektóre z rozwiązań przygotowywanych przez hakerów to kompletne szaleństwo – które jednak działa. Do tej kategorii można na pewno zaliczyć technikę transferu plików, opracowaną przez południowoazjatycką grupę PLATINUM. Kto by w naszych czasach pomyślał bowiem o wykorzystaniu interfejsu szeregowego (COM)?

Eksperci Microsoftu z grupą PLATINUM spotkali się po raz pierwszy na początku zeszłego roku – szybko okazało się, że dysponuje ona dużymi zasobami i stosuje zaawansowane techniki, takie jak hot patching, by po cichu wstrzykiwać swój kod w działające procesy, nawet jeśli można by było to zrobić prostszymi, mniej kosztownymi metodami.

Hot patching nie jest jednak czymś unikalnym. Naprawdę unikalne dla PLATINUM okazało się wykorzystanie do komunikacji z malware kanału Serial-over-LAN (SOL), wbudowanego w AMT – mechanizmy zdalnego zarządzania Intela . Kanał ten jest całkowicie niezależny od systemu operacyjnego, daje dostęp zarówno do procesora jak i interfejsu sieciowego, dzięki czemu przekazywany po nim ruch jest niewidzialny dla firewalli czy narzędzi monitorowania ruchu.

Normalnie Intel wykorzystuje taki dostęp do zarządzania stanem zasilania komputerów czy obsługi np. zdalnej myszki lub klawiatury, np. podczas procesu zdalnego instalowania systemów operacyjnych. Mamy więc bardzo ciekawe połączenie – pełen dostęp do interfejsu sieciowego w połączeniu z symulowanym hardware urządzeń interfejsu użytkownika (HID).

Oprócz tego w swoim narzędziu komunikacyjnym grupa PLATINUM wykorzystała jeszcze jedno wirtualne urządzenie – wirtualny port szeregowy, również zestawu AMT. Łącząc go z interfejsem sieciowym, możliwe stało się przenoszenie danych między maszynami w niezauważalny dla systemowych firewalli sposób.

Warto podkreślić, że nie ma tu mowy o żadnej luce, żadnym exploicie. Intel po prostu tak to zaprojektował, a hakerzy PLATINUM z tego skorzystali. Jeśli napastnik zdobędzie dostęp administracyjny do maszyny i włączy potrzebne moduły AMT (wszystko to może zrobić z poziomu Windowsa), może następnie długo w niezauważony dla administratorów sposób wykorzystywać do swoich potrzeb sieć.

Nie wiadomo, czy hakerzy wykorzystywali przy okazji swoich operacji podatności w AMT, które Intel załatał dopiero z początkiem maja, a która przez dziewięć lat pozwalała na uzyskanie zdalnego dostępu do pecetów z tą technologią – i to bez hasła administratora. Jak Microsoft podaje, narzędzie do transferu plików znaleziono w komputerach ofiar z organizacji działających w południowo-wschodniej Azji, wpasowane w całą architekturę sieciową tam wykorzystywaną.

Czemu firma z Redmond donosi o tym ciekawym przypadku? Przede wszystkim chodzi o pochwalenie swoich narzędzi zabezpieczających – korporacyjna wersja Windows Defendera (Advanced Threat Protection) ma być w stanie wykryć aktywność wirtualnych portów szeregowych, a nawet rozpoznać ich wykorzystanie przez nieuprawnione osoby. Więcej przeczytacie oczywiście na TechNecie, my tylko zauważymy, że dziś, gdy porty szeregowe przeszły w większości do historii, rzadko kiedy zdajemy sobie sprawę z dostępności ich wirtualnych odpowiedników w systemach. Ile takich jeszcze dziwnych rozwiązań tkwi we współczesnych pecetach?

© dobreprogramy
reklama

Komentarze

reklama