全球首例利用英特尔AMTSOL接口窃取敏感数据的攻击手段

E安全6月11日讯 微软公司安全团队已经发现一个新的恶意软件家族，其能够利用英特尔Active Management Technology（即主动管理技术，简称AMT）Serial-over-LAN（即串行LAN，简称SOL）接口充当文件传输工具。

英特尔AMT SOL公开隐藏网络接口

由于英特尔AMT SOL技术的自身特性，其流量能够绕开本地计算机的网络堆栈，这意味着本地防火墙或者安全产品将无法检测或者阻断恶意软件从受感染设备内提取数据的行为。

这是由于英特尔AMT SOL属于英特尔ME（即管理引擎）的一部分，其作为独立处理器被嵌入至英特尔CPU当中，且运行有独立的一套操作系统。ME甚至能够在主处理器断电后继续保持运行，英特尔公司希望利用ME为需要管理成千上万台计算机的网络环境的企业客户提供远程管理功能。

在ME组件堆栈当中，AMT为英特尔vPro处理器及芯片组提供一项远程管理功能。英特尔AMT SOL为英特尔AMT远程管理功能的串行LAN接口，负责通过TCP公开一个虚拟串行接口。

由于英特尔AMT SOL接口在英特尔ME内运行，这就与正常操作系统独立开来，这意味着普通的操作系统当中配置的防火墙与安全产品将无法对AMT SOL发挥作用。

另外，由于运行在英特尔ME之内，AMT SOL接口还能够在PC设备被关闭（仍以物理方式接入网络）时保持运作，包括允许英特尔ME引擎通过TCP持续发送或者接收数据。

网络间谍组织利用英特尔AMT SOL实现恶意软件功能

好消息是，英特尔AMT SOL在全部英特尔CPU之上皆默认被禁用，这意味着使用了英特尔CPU的PC用户或者本地系统管理员必须手动启用该功能才可能受到威胁影响。

但坏消息是，微软公司发现某网络间谍活动集团已经开发出恶意软件，该恶意软件能够利用英特尔AMT SOL接口从受感染计算机处窃取数据。

微软方面并未提到这些得到政府支持的黑客是否已经发现了在受感染主机上启用该功能的方式，抑或只能在确定潜在目标激活该功能的情况下才能加以利用。

该功能已经在针对南亚及东南亚地区各企业及政府机构的恶意软件当中有所体现。微软公司的研究人员将部分此恶意软件的组织命名为PLATINUM。

早在2009年微软公司就首次发现该黑客组织，且恶意活动目标始终围绕着南亚与东南亚地区展开。

PLATINUM以复杂的黑客技术而闻名

PLATINUM是迄今为止已被发现的技术水平最高的黑客组织之一。

去年，微软公司发布报告称该组织曾利用热补丁以安装恶意软件，微软公司通过热补丁机制发布更新、使用活动进程并升级应用程序或操作系统，而无需重新启动计算机。

安全研究人员们此前曾认真讨论过网络攻击者可能如何利用热补丁机制实现恶意软件安装，因此微软方面对这样的结果并不感到意外。但对英特尔AMT SOL接口的恶意利用则绝对前所未有，因此，PLATINUM的恶意软件自然就成了历史上首例利用英特尔AMT SOL接口的攻击手段。

这更进一步支持了微软方面的理论，即该黑客组织由经过训练且资金实力雄厚的成员所组成，且很可能来自民族国家的网络情报部门。

英特尔AMT SOL因具备隐身特性而遭到利用

一般来讲，网络间谍组织最为关注的是如何隐藏自己的形迹，英特尔AMT SOL对绕过防火墙的功能成为其被选中的主要原因。

微软公司表示其仍然能够识别恶意软件操作中的线索，从而通过Windows Defender ATP安全产品在AMT SOL接口被访问及启用之前将其发现。在这种情况下，企业还将收到警告，提示其可能已经感染了相关恶意软件。

在与微软方面进行接洽时，英特尔公司表示PLATINUM组织并未使用任何存在于英特尔AMT SOL接口中的安全漏洞，但这确实属于出于合法目的而开发的技术被用于恶意用途的又一个典型案例。

微软公司在昨天发布的一份报告当中提供了与PLATINUM组织攻击目标与活动相关的详细信息，E安全感兴趣的读者可点击此处查看（英文原文）。

E安全注：本文系E安全独家编译报道，转载请联系授权，并保留出处与链接，不得删减内容。联系方式：① 微信号zhu-geliang ②邮箱eapp@easyaq.com