image

Hackergroep communiceert 'onzichtbaar' via Intel-technologie

donderdag 8 juni 2017, 11:20 door Redactie, 24 reacties

Een groep geavanceerde hackers die door Microsoft 'Platinum' wordt genoemd gebruikt technologie van Intel om onzichtbaar op besmette systemen en netwerken te communiceren, zelfs als de netwerkkaart is uitgeschakeld en zonder dat firewalls en netwerkmonitoringstools op het systeem dit kunnen detecteren.

Vorig jaar kwam de hackergroep al in het nieuws vanwege het gebruik van "hotpatching", waarbij er stilletjes code in processen werd geïnjecteerd, zonder dat een proces moest worden herstart. Het was voor het eerst dat deze techniek door aanvallers werd waargenomen en de groep heeft volgens Microsoft een nieuwe primeur, namelijk het gebruik van Intel Active Management Technology (AMT) Serial-over-LAN (SOL) als communicatiekanaal. Dit kanaal werkt onafhankelijk van het besturingssysteem, waardoor alle communicatie die erover gaat onzichtbaar voor firewalls en monitoringstools op de host is. Niet eerder is er malware aangetroffen die AMT SOL gebruikt om te communiceren, aldus Microsoft.

Active Management Technology (AMT) maakt het mogelijk om systemen op afstand te beheren en is een onderdeel van de Intel vPro-processors en -chipsets. Het draait op de Intel Management Engine (ME), die een eigen besturingssysteem draait om op een embedded processor in de chipset te worden uitgevoerd. Aangezien deze embedded processor gescheiden is van de primaire Intel-processor, kan het actief zijn zelfs als de hoofdprocessor is uitgeschakeld. Op deze manier is het ook mogelijk om uitgeschakelde systemen op afstand te beheren.

AMT beschikt over een Serial-over-LAN (SOL) feature die het mogelijk maakt om een virtueel serieel apparaat via tcp aan te sturen. Deze functionaliteit werkt onafhankelijk van het besturingssysteem en de netwerklaag op de computer. De ME maakt namelijk gebruik van een eigen netwerklaag en heeft toegang tot de hardwarematige netwerkinterface. Zelfs als de netwerkkaart op de host staat uitgeschakeld, zal SOL nog steeds functioneren zolang het systeem fysiek met het netwerk is verbonden.

Via deze backdoor, zoals Microsoft het noemt, kunnen de aanvallers onzichtbaar met het systeem communiceren en bestanden kopiëren. In een blogposting over de aanval meldt Microsoft dat het na ontdekking van de backdoor contact heeft opgenomen met Intel en "de twee bedrijven". Dat suggereert dat de techniek bij twee bedrijven werd toegepast. Verder onderzoek wees uit dat de backdoor geen misbruik van kwetsbaarheden in de Intel-technologie maakt, maar AMT SOL binnen al gehackte netwerken gebruikt om beveiligingssoftware te omzeilen. Volgens Microsoft is de backdoor op een "handvol" computers van organisaties in Zuidoost-Azië aangetroffen. In deze video geeft Microsoft een demonstratie van de aanval.

Image

Reacties (24)
08-06-2017, 11:36 door Anoniem
van daar dat ik ben overgestapt naar AMD processor ik persoonlijk heeft het niet zo op Intel v?
afblijven van mijn processor zo lang het kan? toch.
08-06-2017, 12:01 door [Account Verwijderd]
[Verwijderd]
08-06-2017, 12:04 door Anoniem
Door Anoniem: van daar dat ik ben overgestapt naar AMD processor ik persoonlijk heeft het niet zo op Intel v?
afblijven van mijn processor zo lang het kan? toch.

AMD gebruikt een soortgelijke technologie.
08-06-2017, 12:10 door Anoniem
ja
Door Anoniem: van daar dat ik ben overgestapt naar AMD processor ik persoonlijk heeft het niet zo op Intel v?
afblijven van mijn processor zo lang het kan? toch.

ik ben ook underdog fan, maar vrees dat als AMD processoren nog meer gebruikt gaan worden die man met hoge hoed, wijzende vinger en witte baard en haar roept "ben jij Amerikaans? ben je met ons of tegen ons?.... tja, de rest is wel duidelijk... kijk maar naar alle "lekken" die in Amerikaanse hard- en software is gevonden die een 16 jarige sxriptkiddy nog gevonden zou hebben...
08-06-2017, 12:12 door karma4
[Verwijderd]
08-06-2017, 12:12 door karma4
De doosjes in een datacenter wil je niet meer door fysieke mensenhanden laten beheren. Dat doet geen enkele grote datacenter jongen meer. Dat betekent een remote beheer systeem op de hardware. Zoiets speelt al jaren.

Maakt niet veel uit of de processor van Intel of AMD of van elder komt. De werkwijze met de techniek zal overeenkomstig zijn. Dat je het remote beheer samengetrokken hebt met al het andere is een geweldige besparing op de bekabeling dat heeft ook zijn nadeel.
08-06-2017, 12:20 door Anoniem
Hoe zou iemand verklaren dat SOL tcp verkeer niet voor een firewall waarneembaar zou zijn?
waarschijnlijk lost-in-translation en is het alleen voor een software firewall niet zichtbaar.
08-06-2017, 12:58 door Anoniem
Meer info over de technologie van Intel zelf: https://software.intel.com/en-us/articles/using-intel-amt-serial-over-lan-to-the-fullest

Vooral het stukje onder de kop "The ultimate feature: TCP-over-Serial-over-LAN" is interessant, maar tegelijkertijd ook beangstigend...
08-06-2017, 13:08 door Anoniem
Gelukkig heb ik nog een Cyrix cpu.
08-06-2017, 13:34 door Anoniem
Door karma4eddon: De doosjes in een datacenter wil je niet meer door fysieke mensenhanden laten beheren
Zeker nog nooit in een datacenter geweest. Servers hebben iLO of iDrac etc
08-06-2017, 13:44 door Anoniem
08-06-2017, 13:54 door Anoniem
Door Anoniem: Hoe zou iemand verklaren dat SOL tcp verkeer niet voor een firewall waarneembaar zou zijn?
waarschijnlijk lost-in-translation en is het alleen voor een software firewall niet zichtbaar.

Niet voor de host zelf, omdat het onafhankelijk van het OS functioneert. Uiteraard is het wel zichtbaar voor 'externe' firewalls en bijvoorbeeld network intrusion detection systemen. Uiteindelijk is het 'gewoon' netwerkverkeer.
08-06-2017, 14:31 door Anoniem
Door Anoniem: Hoe zou iemand verklaren dat SOL tcp verkeer niet voor een firewall waarneembaar zou zijn?
waarschijnlijk lost-in-translation en is het alleen voor een software firewall niet zichtbaar.

dat was wat mij ook bezorgd maakte... er draait geen operating system, soi, dat die het verkeer op de interface niet ziet... soi... maar als je nu checkpoint gaia erop hebt draaien ofzo, dan zie je het ook niet, want die interface heeft 2 bazen... NSA natte droom
08-06-2017, 15:06 door Anoniem
Wanneer komt er nou eens iemand op voor ons digitale consumenten!? Dit is gewoon een levensgevaarlijke technogie en ee ernstige bedreiging voor onze privacy en veiligheid van computers. Het heeft eigenlijk geen zin meer om een betaalde antivirus en/of firewall te gebruiken omdat hackers toch wel de pc binnenkomen door de vele lekken in hardware en software. Daar kan geen enkele antivirus/antimalware en firewall iets tegen doen. En dus heeft het ook geen enkele zin meer om een (dure) computer aan te schaffen. Als ik het goed begrijp is deze techniek ook op een macbook toepasbaar want die gebruikt ook intel processoren? En idem Ubuntu Linux,Chromebook. En hoe zit het met android devices?
08-06-2017, 15:10 door ph-cofi - Bijgewerkt: 08-06-2017, 15:12
Door Anoniem: (...)NSA natte droom
Precies dat. En daarnaast ook door gewone criminelen uit te buiten?
In dat geval zijn alle PC's met Intel op deze manier tot onbeheerste IoT doosjes gereduceerd. Daarbij verbleken de kwetsbaarheden die de OS-en bieden of ontstaan door onveilige inrichting. Net als bij IoT hebben de PC eigenaren geen garantie op updates.
Zou het helpen om geen netwerkkaarten op moederborden te gebruiken, doch altijd zelf geinstalleerde netwerkinterfaces?
08-06-2017, 16:40 door Anoniem
OS onafhankelijk

"Heb zelf het al een tijdje het idee dat er met name op rokjesdag geheim wordt gecommuniceerd via hotpantsing.
Elke lente weer wordt mijn hart gehackt."
08-06-2017, 17:27 door karma4 - Bijgewerkt: 08-06-2017, 17:36
Door Anoniem:
Door karma4eddon: De doosjes in een datacenter wil je niet meer door fysieke mensenhanden laten beheren
Zeker nog nooit in een datacenter geweest. Servers hebben iLO of iDrac etc
Ik wel en sinds ze dd mensen uit de ruimtes willen hebben zitten de operators waar je de informatie vroeger soms kreeg er ook niet meer. Op afstand onbereikbaar die rekken is het ideaal en zo wordt het ook neergezet.

Je noemt trouwens tools die dat doel eveneens mogelijk maken. Stel je nu eens de oude thuis actie situatie voor dat iemand fysiek door de ruimtes gaat met tafel keyboard scherm om in een doosje te prikken waar wat gebeuren moet. De enige situatie waar ik dat nog zie is als het hele datacenter in een kamertje van 4x2 past met ongeveer twee beheerders.
08-06-2017, 19:09 door Anoniem
Eh, hotpatching zit toch gewoon in visual studio? Het maakt dat je je pc niet zo vaak hoeft te rebooten na een patch. Reuze nuttig! Maar als MS aan niemand uitlegt hoe het werkt, gebruikt niemand het behalve de hackers.
08-06-2017, 19:24 door Anoniem
Rare vraag, welke backdoor kaarten heeft men nog meer in de mouwen verborgen zitten?
Alles hiermee en met veel anders ook in de infrastructuur is dus moedwillig gepnewed en geholed.

Leuk als je zo'n wormendoosje na de eeuwwisseling in je handen gestopt kreeg.

De weinige yanks, die ervan wisten en weten, van de hoed en de rand dus, lachten zich gezamenlijk de b*llen uit de broek.

Hoe kon de goegemeente van sheeple dit zich laten aandoen en nog mooier de IT security gemeenschap ook.

Begonnen op een standalone Atari, via een politiecursusje van mijn buurman, nu twintig jaar na dato komen er bedreigingen als konijnen uit de hoge hoed, waarvan de schaduwen die ze vooruit werpen, je de stuipen op het lijf jagen.

Wat is er nog veilig te krijgen? Hallo, hoort u mij toezichthouders, uebers, backbone beheerders?

Dit is een leuke site, een live thriller waardig. Het kan elke dag nog gekker, nog vreemder en extremer.
Dank aan degenen, die dit iedere dag voor ons verzamelen en redigeren.
09-06-2017, 08:18 door Anoniem
Door Anoniem: Wanneer komt er nou eens iemand op voor ons digitale consumenten!? Dit is gewoon een levensgevaarlijke technogie en ee ernstige bedreiging voor onze privacy en veiligheid van computers. Het heeft eigenlijk geen zin meer om een betaalde antivirus en/of firewall te gebruiken omdat hackers toch wel de pc binnenkomen door de vele lekken in hardware en software. Daar kan geen enkele antivirus/antimalware en firewall iets tegen doen. En dus heeft het ook geen enkele zin meer om een (dure) computer aan te schaffen. Als ik het goed begrijp is deze techniek ook op een macbook toepasbaar want die gebruikt ook intel processoren? En idem Ubuntu Linux,Chromebook. En hoe zit het met android devices?
De technologie zit* alleen in Intel-processoren met vPro-technologie. Niet elke Intel-processor heeft vPro, dit wordt vooral in kantooromgevingen gebruikt en is daarom vooral in business lines van computers/laptops aanwezig. Bijv. de i7-7700K heeft geen vPro. Zie ook https://communities.intel.com/docs/DOC-5693 voor meer info en hoe je na kan gaan of jouw processor vPro heeft.

Verder is deze kwetsbaarheid voor consumenten niet erg spannend. SOL staat standaard uit en kan alleen met fysieke toegang tot de computer en/of adminrechten in het OS geactiveerd worden en dan alleen over het LAN bedient worden. M.a.w. alleen volledig gecompromitteerde systemen zijn getroffen, maar dan is het sowieso al te laat voor jouw vakantiekiekjes...


*Het zou natuurlijk kunnen dat de technologie ook in andere processoren zit, maar daar fysiek/logisch uitgeschakeld is.
09-06-2017, 09:36 door spatieman
Via deze backdoor, zoals Microsoft het noemt, kunnen de aanvallers onzichtbaar met het systeem communiceren en bestanden kopiëren.
kuch.
Wie zegt ons niet dat MS en de NSA dit niet al standaard doen.
09-06-2017, 11:13 door ph-cofi
Door Anoniem: OS onafhankelijk

"Heb zelf het al een tijdje het idee dat er met name op rokjesdag geheim wordt gecommuniceerd via hotpantsing.
Elke lente weer wordt mijn hart gehackt."

LOL Hotpantsing! Bedankt, dit soort reacties helpt de dag door te komen :)
09-06-2017, 15:45 door Anoniem
Platinum APT hackers konden dit doen, omdat ze de meeste alerts voor gedragsafwijkingen van veiligheidsprodukten voor systemen wisten te omzeilen en doordat hun achterdeur voor zulke detectie daar onzichtbaar bleef. Het werd legit gebruikt op windows server 2003 en maar voor een tiental patches, naar ik meen. Alleen op Windows10 was men er pas wat veiliger voor.

Op deze wijze onzichtbaar voor detectie automatisch kwaadaardige patches uitvoeren is een zeer uitgekookte techniek. Aleen remote was het waar te nemen, niet op de systemen zelf, waar je dus niets meer had aan je ids!!!!

Wanneer gaan we dit moeras, dat Microsoft op de infrastructuur heeft losgelaten eens echt droogleggen?

Ik heb destijds leuke experimenten gezien met virtuele windows omgevingen op linux dragers, die afgespeeld werden op een besmette machine, waarmee men door toggelen van het ene naar het andere platform kon gaan en malware kon laten verdwijnen als sneeuw voor de zon.

Helaas waren dit persoonlijke exercities, want niet bekend of het helemaal legaal is om dit in het publiek uit te voeren met een mix van gesloten en open software. De CDs rouleerden destijds clandestien op de Poolse markt, maar wat daar geleerd werd, is zeer de moeite waard. Misschien breng ik iemand op een idee, maar zeg niet dat het uitgebracht moet worden. Je toggelt even met een paar F-toets combinaties om je tussen linux en Microsoft omgeving te kunnen bewegen en je ding te doen op je geinfesteerde Windows apparaat. Maar mooi, je wilt het niet geloven!

Hallo, mensen hier. Waar zitten toch die whitehat nerds, die ons moeten beschermen in deze donkere eindgebruikers dagen? Laat het zonnetje van binnen weer eens schijnen voor ons. Kom op, ik wil wat digitale goede vibraties beleven via innovatie. Weg met die negativiteit, we shall win in the end.
11-06-2017, 06:09 door karma4
Door Anoniem: ....
Hallo, mensen hier. Waar zitten toch die whitehat nerds, die ons moeten beschermen in deze donkere eindgebruikers dagen? Laat het zonnetje van binnen weer eens schijnen voor ons. Kom op, ik wil wat digitale goede vibraties beleven via innovatie. Weg met die negativiteit, we shall win in the end.

Het werk van White hats is niet sexy en de resultaten van een goed resultaat zijn stom vervelend. Je hebt er niets aan voor nieuw en journalistiek. Fraai duur iapart ds dat uitstekend fnctioneert en waarmee op tijd acties uitgezet worden. Tja..
Mooi ingericht systeem dat en veilig en stabiel en profijtelijk is. Geen nieuwswaarde of ander iets, tja.

Het is als met auto's en verkeer gaat alles perfect dan is dat gewoon. Schade ongelukken uitval opstoppingen zijn pas de interessante zaken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.