Tin tặc lợi dụng công cụ quản lý của Intel để vượt qua tường lửa của Windows

14:18 | 30/06/2017

Microsoft vừa công bố chi tiết một kỹ thuật tinh vi mà một nhóm tin tặc ở Đông Nam Á sử dụng để thông qua công cụ quản lý hợp lệ để qua mặt tường lửa và các hệ thống giám sát mạng dựa vào thiết bị đầu cuối.

Nhóm này được Microsoft đặt tên là PLATINUM, đã phát triển một hệ thống gửi tệp tới các máy tính bị lây nhiễm, chẳng hạn như các hành động phá hoại mới hay một phiên bản mới của mã độc. Kỹ thuật của PLATINUM hoạt động bằng cách lợi dụng Active Management Technology (AMT) của Intel để vượt qua tường lửa có sẵn của Windows. Phần mềm nhúng (firmware) của AMT chạy ở mức thấp, bên dưới hệ điều hành và có thể truy xuất tới cả bộ vi xử lý và giao tiếp mạng. 

AMT cần truy cập mức thấp như vậy là để phục vụ những mục đích rất hợp lệ. Ví dụ như nó có thể khởi động máy và thực hiện các chức năng KVM (keyboard/video/mouse) dựa trên IP, cho phép một người ở xa gửi các thao tác chuột và bàn phím tới máy tính đồng thời nhìn thấy những thứ hiển thị trên màn hình. Những khả năng này dùng cho các tác vụ như cài đặt hệ điều hành cho máy tính mới từ xa. Để làm được điều đó, AMT không chỉ cần truy cập giao tiếp mạng mà còn cần giả lập phần cứng, chẳng hạn chuột và bàn phím, để cung cấp đầu vào cho hệ điều hành.

Những hoạt động mức thấp này khiến AMT trở thành điểm yếu dễ bị khai thác cho tin tặc. Lưu lượng mạng mà AMT sử dụng được xử lý hoàn toàn bên trong AMT. Lưu lượng mạng đó không bao giờ đi qua các tầng IP của hệ điều hành và vì thế trở nên vô hình với tường lửa và các phần mềm giám sát mạng. Phần mềm của nhóm PLATINUM dùng cổng serial ảo do AMT cung cấp để tạo ra kết nối giữa mạng và mã độc chạy trong máy tính bị lây nhiễm.

Giao tiếp giữa các máy tính sử dụng serial-over-LAN do phần mềm nhúng của AMT xử lý. Mã độc kết nối tới cổng serial ảo của AMT để gửi và nhận dữ liệu. Trong khi đó, hệ điều hành và tường lửa không hề hay biết. Bằng cách này, mã độc của PLATINUM có thể chuyển các tệp giữa những máy tính trong mạng mà không bị phát hiện.



Gần đây có thông tin về lỗ hổng cho phép kẻ xấu sử dụng các tính năng của AMT mà không cần biết mật khẩu AMT. Điều này có thể dùng để bật các tính năng như KVM từ xa để kiểm soát các hệ thống và thực thi các lệnh trên đó. Tuy nhiên, nhóm PLATINUM không thực hiện theo cách này. Mã độc của nhóm không lợi dụng bất kỳ lỗi nào của AMT mà chỉ sử dụng AMT đúng như cách nó được thiết kế để thực hiện những hoạt động xấu.


Cả mã độc của PLATINUM và lỗi bảo mật của AMT đều cần ẢMT được kích hoạt trước. Nhưng Microsoft không chắc chắn về việc mã độc của PLATINUM có thể tự kích hoạt AMT hay không. Nếu mã độc có quyền quản trị, nó có thể kích hoạt các tính năng của AMT từ trong Windows, ngược lại nếu AMT đã được kích hoạt trước thì mã độc phải đánh cắp được thông tin đăng nhập.

Dù việc sử dụng AMT để truyền các tệp mà không bị tường lửa phát hiện nhưng điều đó không có nghĩa là không thể bị phát hiện. Việc sử dụng cổng serial của AMT vẫn có thể bị phát hiện. Microsoft cho biết giải pháp Windows Defender Advanced Threat Protection của họ có thể phân biệt việc sử dụng serial-over-LAN hợp pháp và bất hợp pháp. Mặc dù vậy, cách thực hiện của nhóm PLATINUM vẫn là một cách làm tinh vi, có thể qua mặt những biện pháp bảo vệ phổ biến mà chúng ta vẫn dùng để ngăn chặn các hoạt động phi pháp.