发布时间:2017-06-11 18:55:02 文章来源:互联网
微博 微信 QQ空间
    E安全6月11日讯微软公司安全团队已经发现一个新的恶意软件家族,其能够利用英特尔ActiveManagementTechnology(即主动管理技术,简称AMT)Serial-over-LAN(即串行LAN,简称SOL)接口充当文件传输工具。

    英特尔AMTSOL公开隐藏网络接口
 
    由于英特尔AMTSOL技术的自身特性,其流量能够绕开本地计算机的网络堆栈,这意味着本地防火墙或者安全产品将无法检测或者阻断恶意软件从受感染设备内提取数据的行为。
 
    这是由于英特尔AMTSOL属于英特尔ME(即管理引擎)的一部分,其作为独立处理器被嵌入至英特尔CPU当中,且运行有独立的一套操作系统。ME甚至能够在主处理器断电后继续保持运行,英特尔公司希望利用ME为需要管理成千上万台计算机的网络环境的企业客户提供远程管理功能。
 
    在ME组件堆栈当中,AMT为英特尔vPro处理器及芯片组提供一项远程管理功能。英特尔AMTSOL为英特尔AMT远程管理功能的串行LAN接口,负责通过TCP公开一个虚拟串行接口。
 
    由于英特尔AMTSOL接口在英特尔ME内运行,这就与正常操作系统独立开来,这意味着普通的操作系统当中配置的防火墙与安全产品将无法对AMTSOL发挥作用。
 
    另外,由于运行在英特尔ME之内,AMTSOL接口还能够在PC设备被关闭(仍以物理方式接入网络)时保持运作,包括允许英特尔ME引擎通过TCP持续发送或者接收数据。
 
    全球【首例】利用英特尔AMTSOL接口窃取敏感数据的攻击手段-E安全
 
    网络间谍组织利用英特尔AMTSOL实现恶意软件功能
 
    好消息是,英特尔AMTSOL在全部英特尔CPU之上皆默认被禁用,这意味着使用了英特尔CPU的PC用户或者本地系统管理员必须手动启用该功能才可能受到威胁影响。
 
    但坏消息是,微软公司发现某网络间谍活动集团已经开发出恶意软件,该恶意软件能够利用英特尔AMTSOL接口从受感染计算机处窃取数据。
 
    微软方面并未提到这些得到政府支持的黑客是否已经发现了在受感染主机上启用该功能的方式,抑或只能在确定潜在目标激活该功能的情况下才能加以利用。

另一视角

换一换