Hackergroep communiceert 'onzichtbaar' via Intel-technologie
Een groep geavanceerde hackers die door Microsoft 'Platinum' wordt genoemd gebruikt technologie van Intel om onzichtbaar op besmette systemen en netwerken te communiceren, zelfs als de netwerkkaart is uitgeschakeld en zonder dat firewalls en netwerkmonitoringstools op het systeem dit kunnen detecteren.
Vorig jaar kwam de hackergroep al in het nieuws vanwege het gebruik van "hotpatching", waarbij er stilletjes code in processen werd geïnjecteerd, zonder dat een proces moest worden herstart. Het was voor het eerst dat deze techniek door aanvallers werd waargenomen en de groep heeft volgens Microsoft een nieuwe primeur, namelijk het gebruik van Intel Active Management Technology (AMT) Serial-over-LAN (SOL) als communicatiekanaal. Dit kanaal werkt onafhankelijk van het besturingssysteem, waardoor alle communicatie die erover gaat onzichtbaar voor firewalls en monitoringstools op de host is. Niet eerder is er malware aangetroffen die AMT SOL gebruikt om te communiceren, aldus Microsoft.
Active Management Technology (AMT) maakt het mogelijk om systemen op afstand te beheren en is een onderdeel van de Intel vPro-processors en -chipsets. Het draait op de Intel Management Engine (ME), die een eigen besturingssysteem draait om op een embedded processor in de chipset te worden uitgevoerd. Aangezien deze embedded processor gescheiden is van de primaire Intel-processor, kan het actief zijn zelfs als de hoofdprocessor is uitgeschakeld. Op deze manier is het ook mogelijk om uitgeschakelde systemen op afstand te beheren.
AMT beschikt over een Serial-over-LAN (SOL) feature die het mogelijk maakt om een virtueel serieel apparaat via tcp aan te sturen. Deze functionaliteit werkt onafhankelijk van het besturingssysteem en de netwerklaag op de computer. De ME maakt namelijk gebruik van een eigen netwerklaag en heeft toegang tot de hardwarematige netwerkinterface. Zelfs als de netwerkkaart op de host staat uitgeschakeld, zal SOL nog steeds functioneren zolang het systeem fysiek met het netwerk is verbonden.
Via deze backdoor, zoals Microsoft het noemt, kunnen de aanvallers onzichtbaar met het systeem communiceren en bestanden kopiëren. In een blogposting over de aanval meldt Microsoft dat het na ontdekking van de backdoor contact heeft opgenomen met Intel en "de twee bedrijven". Dat suggereert dat de techniek bij twee bedrijven werd toegepast. Verder onderzoek wees uit dat de backdoor geen misbruik van kwetsbaarheden in de Intel-technologie maakt, maar AMT SOL binnen al gehackte netwerken gebruikt om beveiligingssoftware te omzeilen. Volgens Microsoft is de backdoor op een "handvol" computers van organisaties in Zuidoost-Azië aangetroffen. In deze video geeft Microsoft een demonstratie van de aanval.
afblijven van mijn processor zo lang het kan? toch.
afblijven van mijn processor zo lang het kan? toch.
AMD gebruikt een soortgelijke technologie.
afblijven van mijn processor zo lang het kan? toch.
ik ben ook underdog fan, maar vrees dat als AMD processoren nog meer gebruikt gaan worden die man met hoge hoed, wijzende vinger en witte baard en haar roept "ben jij Amerikaans? ben je met ons of tegen ons?.... tja, de rest is wel duidelijk... kijk maar naar alle "lekken" die in Amerikaanse hard- en software is gevonden die een 16 jarige sxriptkiddy nog gevonden zou hebben...
Maakt niet veel uit of de processor van Intel of AMD of van elder komt. De werkwijze met de techniek zal overeenkomstig zijn. Dat je het remote beheer samengetrokken hebt met al het andere is een geweldige besparing op de bekabeling dat heeft ook zijn nadeel.
waarschijnlijk lost-in-translation en is het alleen voor een software firewall niet zichtbaar.
Vooral het stukje onder de kop "The ultimate feature: TCP-over-Serial-over-LAN" is interessant, maar tegelijkertijd ook beangstigend...
https://software.intel.com/en-us/articles/using-intel-amt-serial-over-lan-to-the-fullest/
(1 jan.2015)
waarschijnlijk lost-in-translation en is het alleen voor een software firewall niet zichtbaar.
Niet voor de host zelf, omdat het onafhankelijk van het OS functioneert. Uiteraard is het wel zichtbaar voor 'externe' firewalls en bijvoorbeeld network intrusion detection systemen. Uiteindelijk is het 'gewoon' netwerkverkeer.
waarschijnlijk lost-in-translation en is het alleen voor een software firewall niet zichtbaar.
dat was wat mij ook bezorgd maakte... er draait geen operating system, soi, dat die het verkeer op de interface niet ziet... soi... maar als je nu checkpoint gaia erop hebt draaien ofzo, dan zie je het ook niet, want die interface heeft 2 bazen... NSA natte droom
In dat geval zijn alle PC's met Intel op deze manier tot onbeheerste IoT doosjes gereduceerd. Daarbij verbleken de kwetsbaarheden die de OS-en bieden of ontstaan door onveilige inrichting. Net als bij IoT hebben de PC eigenaren geen garantie op updates.
Zou het helpen om geen netwerkkaarten op moederborden te gebruiken, doch altijd zelf geinstalleerde netwerkinterfaces?
Elke lente weer wordt mijn hart gehackt."
Je noemt trouwens tools die dat doel eveneens mogelijk maken. Stel je nu eens de oude thuis actie situatie voor dat iemand fysiek door de ruimtes gaat met tafel keyboard scherm om in een doosje te prikken waar wat gebeuren moet. De enige situatie waar ik dat nog zie is als het hele datacenter in een kamertje van 4x2 past met ongeveer twee beheerders.
Alles hiermee en met veel anders ook in de infrastructuur is dus moedwillig gepnewed en geholed.
Leuk als je zo'n wormendoosje na de eeuwwisseling in je handen gestopt kreeg.
De weinige yanks, die ervan wisten en weten, van de hoed en de rand dus, lachten zich gezamenlijk de b*llen uit de broek.
Hoe kon de goegemeente van sheeple dit zich laten aandoen en nog mooier de IT security gemeenschap ook.
Begonnen op een standalone Atari, via een politiecursusje van mijn buurman, nu twintig jaar na dato komen er bedreigingen als konijnen uit de hoge hoed, waarvan de schaduwen die ze vooruit werpen, je de stuipen op het lijf jagen.
Wat is er nog veilig te krijgen? Hallo, hoort u mij toezichthouders, uebers, backbone beheerders?
Dit is een leuke site, een live thriller waardig. Het kan elke dag nog gekker, nog vreemder en extremer.
Dank aan degenen, die dit iedere dag voor ons verzamelen en redigeren.
Verder is deze kwetsbaarheid voor consumenten niet erg spannend. SOL staat standaard uit en kan alleen met fysieke toegang tot de computer en/of adminrechten in het OS geactiveerd worden en dan alleen over het LAN bedient worden. M.a.w. alleen volledig gecompromitteerde systemen zijn getroffen, maar dan is het sowieso al te laat voor jouw vakantiekiekjes...
*Het zou natuurlijk kunnen dat de technologie ook in andere processoren zit, maar daar fysiek/logisch uitgeschakeld is.
kuch.
Wie zegt ons niet dat MS en de NSA dit niet al standaard doen.
Elke lente weer wordt mijn hart gehackt."
LOL Hotpantsing! Bedankt, dit soort reacties helpt de dag door te komen :)
Op deze wijze onzichtbaar voor detectie automatisch kwaadaardige patches uitvoeren is een zeer uitgekookte techniek. Aleen remote was het waar te nemen, niet op de systemen zelf, waar je dus niets meer had aan je ids!!!!
Wanneer gaan we dit moeras, dat Microsoft op de infrastructuur heeft losgelaten eens echt droogleggen?
Ik heb destijds leuke experimenten gezien met virtuele windows omgevingen op linux dragers, die afgespeeld werden op een besmette machine, waarmee men door toggelen van het ene naar het andere platform kon gaan en malware kon laten verdwijnen als sneeuw voor de zon.
Helaas waren dit persoonlijke exercities, want niet bekend of het helemaal legaal is om dit in het publiek uit te voeren met een mix van gesloten en open software. De CDs rouleerden destijds clandestien op de Poolse markt, maar wat daar geleerd werd, is zeer de moeite waard. Misschien breng ik iemand op een idee, maar zeg niet dat het uitgebracht moet worden. Je toggelt even met een paar F-toets combinaties om je tussen linux en Microsoft omgeving te kunnen bewegen en je ding te doen op je geinfesteerde Windows apparaat. Maar mooi, je wilt het niet geloven!
Hallo, mensen hier. Waar zitten toch die whitehat nerds, die ons moeten beschermen in deze donkere eindgebruikers dagen? Laat het zonnetje van binnen weer eens schijnen voor ons. Kom op, ik wil wat digitale goede vibraties beleven via innovatie. Weg met die negativiteit, we shall win in the end.
Hallo, mensen hier. Waar zitten toch die whitehat nerds, die ons moeten beschermen in deze donkere eindgebruikers dagen? Laat het zonnetje van binnen weer eens schijnen voor ons. Kom op, ik wil wat digitale goede vibraties beleven via innovatie. Weg met die negativiteit, we shall win in the end.
Het werk van White hats is niet sexy en de resultaten van een goed resultaat zijn stom vervelend. Je hebt er niets aan voor nieuw en journalistiek. Fraai duur iapart ds dat uitstekend fnctioneert en waarmee op tijd acties uitgezet worden. Tja..
Mooi ingericht systeem dat en veilig en stabiel en profijtelijk is. Geen nieuwswaarde of ander iets, tja.
Het is als met auto's en verkeer gaat alles perfect dan is dat gewoon. Schade ongelukken uitval opstoppingen zijn pas de interessante zaken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.