开发者社区> 知与谁同> 正文

如何利用英特尔管理工具绕过Windows防火墙

简介:
+关注继续查看

微软透露,名为PLATINUM(铂金)的黑客组织,利用英特尔vPro处理器和芯片集中可用的主动管理技术(AMT),简单地完全绕过了Windows防火墙。

 

 

基本上, 该黑客组织的文件传输工具主要利用的,就是AMT中的Serial-over-LAN(SOL)串口I/O重定向信道。由于该信道独立于操作系统,主机设备上运行的防火墙和网络监视应用,根本看不到它的任何通信。

需要说明的是,以芯片集提供的TCP信道暴露出虚拟串行设备的SOL,默认是禁用的,需要管理员权限才能在目标工作站上实际启用。鉴于该信道的使用与用户凭证捆绑(用户名和口令),微软推测,PLATINUM可能已经从受害网络中获取到了凭证。

AMT需要这种底层访问的原因,很大程度上与其实际功能有关。该技术允许远程安装操作系统,允许设备反复重启,提供所谓的“基于IP的KVM解决方案(KVM指键盘、视频和鼠标)以完成上述任务。

 

 

关于PLATINUM的实际使用,微软称:

我们证实,该工具并未暴露出管理技术本身的漏洞,但目标网络中被滥用的 AMT SOL ,已成为黑客隐藏通信、规避安全应用的突破口。

至于该黑客组织实现的技术细节方面,微软称:

PLATINUM文件传输工具中的新SOL协议,使用AMT技术SDK的重定向库API(imrsdk.dll)。数据交易通过调用类似send()和recv()网络函数的IMR_SOLSendText()/IMR_SOLReceiveText()接口进行。所用SOL协议与TCP协议类似,除了添加了一个可变长度的数据头部用以进行出错检测。另外,更新过的客户端会在身份验证前,发送内容为“007”的非加密数据包。

微软甚至提供了一段演示视频来展现其用法:

不过,好消息也是存在的。 Windows 10 版本1607和 Configuration Manager 1610 及以后版本的计算机,运行有 Windows Defender ATP (高级持续性威胁)服务,因而可以高枕无忧。该服务不仅可以检测类似PLATINUM的针对性攻击活动,还能区别 AMT SOL 的合法使用与试图将之用作隐秘通信信道的针对性攻击。

微软称,这是其所知此类滥用芯片集功能的首款恶意软件样本,并强调PLATINUM工具本身并没有暴露AMT漏洞,而仅仅是在网络被攻破后被用于规避安全监测工具。



本文转自d1net(转载)

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
SQLite数据库管理工具,可视化工具SQLiteExpert/SQLiteStudio/SQLiteBrowser
SQLite数据库管理工具,可视化工具SQLiteExpert/SQLiteStudio/SQLiteBrowser
112 0
命令行下开启与关闭windows防火墙关端口(转)
sc config sharedaccess start= auto //设置防火墙服务为自动 net start sharedaccess //开启防火墙服务   关闭端口 netsh firewall add portopening protocol = TCP port = 139 n...
892 0
【Apache】Apache ab压力测试工具Window下载和用法详解
【Apache】Apache ab压力测试工具Window下载和用法详解
17 0
Windows系统工具推荐 Sysinternals
在Windows系统开发中有一个必备的开发工具Sysinternals,可以监控系统的各种情况,Sysinternals是鼎鼎大名的工具,纳入微软后,和操作系统也同步进行了更新 官方地址 http://technet.
625 0
+关注
10077
文章
2994
问答
文章排行榜
最热
最新
相关电子书
更多
OceanBase 入门到实战教程
立即下载
阿里云图数据库GDB,加速开启“图智”未来.ppt
立即下载
实时数仓Hologres技术实战一本通2.0版(下)
立即下载