微軟研究人員發(fā)現(xiàn)一個黑客團伙的文件傳輸工具可利用英特爾的Active Management Technology來繞過Windows內置防火墻。那么，Platinum的軟件是如何濫用英特爾的管理工具呢？

Michael Cobb：該黑客團伙被稱為Platinum，其惡意文件傳輸工具最早于2016年被發(fā)現(xiàn)，隨后該團伙還進一步改善了這個工具。目前該工具可利用英特爾的Active Management Technology（AMT）固件來繞過防火墻和其他基于端點的防御措施。

該AMT存在于英特爾vPro處理器和芯片中，主要用于遠程管理。根據(jù)微軟和英特爾表示，這是第一次發(fā)現(xiàn)高級持續(xù)威脅以這種方式濫用芯片組。

英特爾AMT運行在英特爾管理引擎（ME）中，該引擎在位于芯片組的嵌入式處理器上運行著自己的操作系統(tǒng)，并使用自己的網(wǎng)絡堆棧。由于此嵌入式處理器與英特爾主處理器分離，即使當主處理器斷電，它也可以執(zhí)行，從而提供帶外遠程管理功能，因為它可訪問硬件網(wǎng)絡接口。

英特爾AMT的串行LAN（SOL）功能利用ME的網(wǎng)絡堆棧，使其即使在主機網(wǎng)絡禁用網(wǎng)絡的情況下也可通信—只要設備物理連接到網(wǎng)絡即可。另外，由于SOL獨立于操作系統(tǒng)和主機的網(wǎng)絡堆棧運行，因此通過它的任何通信可躲過主機設備運行的防火墻、反惡意軟件和網(wǎng)絡監(jiān)控應用。這使它成為黑客的理想工具。

Platium已經(jīng)升級其原來的文件傳輸工具，原來的工具是利用常規(guī)網(wǎng)絡API來利用SOL通信通道。然而，想要利用最新版本的工具，Platinum首先需要獲得系統(tǒng)的管理權限。這是因為默認情況下AMT為關閉狀態(tài)，并且需要管理權限才能建立SOL會話。這意味著Platium需要獲取受害者網(wǎng)絡的特定登陸憑證，或者在獲取系統(tǒng)管理權限后，配置英特爾AMT并設置自己的登陸憑證。

微軟的Windows Security博客提供了有關這些攻擊的詳細圖表和視頻。在博客中，微軟指出，Platinum工具并不沒有暴露英特爾AMT的漏洞，而是利用它來規(guī)避受感染網(wǎng)絡中的安全監(jiān)控工具。
Platium利用的是合法管理工具，所以有一種應對方法就是不要啟用英特爾AMT以及關閉串行LAN通信。即使Windows Defender高級威脅防護可檢測并通知網(wǎng)絡管理員有人試圖利用AMT SOL通信通道進行未經(jīng)授權活動，但還需要強大的安全做法來管理對特權賬號的訪問。

Platium的做法是使用魚叉式網(wǎng)絡釣魚活動和微軟Office文檔來利用未經(jīng)修復和已知漏洞，從而安裝后門程序和其他代碼以在網(wǎng)絡立足。他們的目標主要在東南亞，這包括政府機構、國防承包商和情報機構，以及電信等關鍵行業(yè)。

對于網(wǎng)絡釣魚攻擊以及防止攻擊者在網(wǎng)絡中獲得初始立足點，至關重要的始終是提供最新的安全意識培訓。