r   e   k   l   a   m   a
r   e   k   l   a   m   a

Zapora sieciowa nic tu nie da: malware rozmawiało po wirtualnym porcie COM

Strona główna AktualnościBEZPIECZEŃSTWO

Nie ma chyba drugiej takiej dziedziny informatyki równie zależnej od pomysłowości, co tworzenie złośliwego oprogramowania. Niektóre z rozwiązań przygotowywanych przez hakerów to kompletne szaleństwo – które jednak działa. Do tej kategorii można na pewno zaliczyć technikę transferu plików, opracowaną przez południowoazjatycką grupę PLATINUM. Kto by w naszych czasach pomyślał bowiem o wykorzystaniu interfejsu szeregowego (COM)?

Eksperci Microsoftu z grupą PLATINUM spotkali się po raz pierwszy na początku zeszłego roku – szybko okazało się, że dysponuje ona dużymi zasobami i stosuje zaawansowane techniki, takie jak hot patching, by po cichu wstrzykiwać swój kod w działające procesy, nawet jeśli można by było to zrobić prostszymi, mniej kosztownymi metodami.

Hot patching nie jest jednak czymś unikalnym. Naprawdę unikalne dla PLATINUM okazało się wykorzystanie do komunikacji z malware kanału Serial-over-LAN (SOL), wbudowanego w AMT – mechanizmy zdalnego zarządzania Intela . Kanał ten jest całkowicie niezależny od systemu operacyjnego, daje dostęp zarówno do procesora jak i interfejsu sieciowego, dzięki czemu przekazywany po nim ruch jest niewidzialny dla firewalli czy narzędzi monitorowania ruchu.

r   e   k   l   a   m   a

Normalnie Intel wykorzystuje taki dostęp do zarządzania stanem zasilania komputerów czy obsługi np. zdalnej myszki lub klawiatury, np. podczas procesu zdalnego instalowania systemów operacyjnych. Mamy więc bardzo ciekawe połączenie – pełen dostęp do interfejsu sieciowego w połączeniu z symulowanym hardware urządzeń interfejsu użytkownika (HID).

Oprócz tego w swoim narzędziu komunikacyjnym grupa PLATINUM wykorzystała jeszcze jedno wirtualne urządzenie – wirtualny port szeregowy, również zestawu AMT. Łącząc go z interfejsem sieciowym, możliwe stało się przenoszenie danych między maszynami w niezauważalny dla systemowych firewalli sposób.

Warto podkreślić, że nie ma tu mowy o żadnej luce, żadnym exploicie. Intel po prostu tak to zaprojektował, a hakerzy PLATINUM z tego skorzystali. Jeśli napastnik zdobędzie dostęp administracyjny do maszyny i włączy potrzebne moduły AMT (wszystko to może zrobić z poziomu Windowsa), może następnie długo w niezauważony dla administratorów sposób wykorzystywać do swoich potrzeb sieć.

Nie wiadomo, czy hakerzy wykorzystywali przy okazji swoich operacji podatności w AMT, które Intel załatał dopiero z początkiem maja, a która przez dziewięć lat pozwalała na uzyskanie zdalnego dostępu do pecetów z tą technologią – i to bez hasła administratora. Jak Microsoft podaje, narzędzie do transferu plików znaleziono w komputerach ofiar z organizacji działających w południowo-wschodniej Azji, wpasowane w całą architekturę sieciową tam wykorzystywaną.

Czemu firma z Redmond donosi o tym ciekawym przypadku? Przede wszystkim chodzi o pochwalenie swoich narzędzi zabezpieczających – korporacyjna wersja Windows Defendera (Advanced Threat Protection) ma być w stanie wykryć aktywność wirtualnych portów szeregowych, a nawet rozpoznać ich wykorzystanie przez nieuprawnione osoby. Więcej przeczytacie oczywiście na TechNecie, my tylko zauważymy, że dziś, gdy porty szeregowe przeszły w większości do historii, rzadko kiedy zdajemy sobie sprawę z dostępności ich wirtualnych odpowiedników w systemach. Ile takich jeszcze dziwnych rozwiązań tkwi we współczesnych pecetach?

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.   

Trwa konkurs "Ogól naczelnego", w którym codziennie możecie wygrać najnowsze maszynki systemowe Hydro Connect 5 marki Wilkinson Sword.

Więcej informacji

Gratulacje!

znalezione maszynki:

Twój czas:

Ogól Naczelnego!
Znalazłeś(aś) 10 maszynek Wilkinson Sword
oraz ogoliłeś(aś) naszego naczelnego!
Przejdź do rankingu
Podpowiedź: Przyciśnij lewy przycisk myszki i poruszaj nią, aby ogolić brodę.