翻译:ju4n010
预估稿费:170RMB
投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿
早在2016年4月,我们就发布了“PLATINUM:针对南亚和东南亚的持续性攻击”,详细介绍了PLATINUM组织的战术,技术和程序。
PLATINUM组织是一个资源充足的团队,他们采用先进的技术,如热补丁技术,将代码隐秘地注入到进程。 即使传统的注入技术已经足够有效,且开发成本较低,他们也使用热补丁技术。
自2016年发布报告以来,微软发现PLATINUM组织不断更新它们的文件传输工具,该工具使用英特尔主动管理技术(AMT)的Serial-over-LAN(SOL)通道进行通信。 该通道独立于操作系统工作,使得通过该通道的任何通信对在主机设备上运行的防火墙和网络监控程序都不可见。在近期事件的之前,还没有发现其他恶意软件滥用英特尔的AMT SOL功能进行通信。
当发现这种独特的文件传输工具后,微软与英特尔立即共享信息,一起合作分析以便更好地了解该工具的用途和实现。我们确认主动管理技术中并不存在漏洞,但该工具在被攻陷的目标网络中使用了AMT SOL技术,从而保持通信的隐蔽性并躲避安全软件。
更新的文件传输工具目前只在一些东南亚企业网络中的少数受害计算机中被发现。PLATINUM组织经常根据目标组织的网络架构来定制开发工具。下图显示了此文件传输工具的更新通道和网络流程。
图1. PLATINUM文件传输工具网络流程
默认情况下,AMT SOL功能并未启用激活,并且需要管理员权限才能在工作站上使用。 目前尚不清楚,PLATINUM组织是如何启用该功能的,是工作站已经预先配置启用了AMT SOL管理功能还是PLATINUM组织配置激活的。 不管何种情况,PLATINUM组织都需要在目标系统上获得管理权限才能使用AMT SOL功能。
AMT Serial-over-LAN(SOL)通信通道
主动管理技术(AMT)可实现对设备的远程管理,是由英特尔博锐处理器和芯片组提供的。 AMT运行在英特尔管理引擎中,英特尔管理引擎在芯片组的嵌入式处理器上运行着自己的操作系统。 由于该嵌入式处理器与英特尔主处理器分离,因此即使主处理器关闭,它也可以正常执行,因此能够对外提供远程管理功能,如远程电源管理和键盘、视频和鼠标的控制。
AMT具有Serial-over-LAN(SOL)功能,通过一个虚拟串行设备提供通信通道。
图2. AMT SOL设备
该功能独立于设备主机的操作系统网络栈,英特尔管理引擎使用自己的网络栈,并可以访问硬件网络接口。这意味着即使在主机上禁用了网络连接,只要设备物理连接到网络,SOL功能仍将起作用。
图3. AMT SOL组件网络栈
此外,由于SOL流量不经过主机的网络栈,因此主机设备上运行的防火墙应用程序并不能阻止SOL流量。 要启用SOL功能,主机必须配置英特尔主动管理技术。 此外,在设备配置期间会建立SOL会话,而这个需要用户名和密码。 因此,该工具需要相关凭据来建立这样一个会话。
一种可能性是,PLATINUM组织可能已经从受害者网络获得了相关的凭据。 另一种可能性是,目标系统没有提供AMT,但PLATINUM一旦获得了系统的管理权限,就可以启用AMT。
有几种配置启用AMT的方法。 最直接的是基于主机的配置,可以在Windows操作系统主机内完成,但需要管理员权限。在配置过程中,PLATINUM可以选择他们已获得的用户名和密码来完成。
PLATINUM如何使用SOL
在我们之前发布的报告中,该文件传输工具的第一个版本,是通过TCP / IP网络通信使用常规的网络API完成的。表示层协议很简单:缓冲区由表示长度的双字节头和Blowfish算法加密的有效载荷数据组成。
图4. TCP协议长度头和有效载荷
PLATINUM文件传输工具中使用的新SOL协议采用了AMT SDK的重定向库API(imrsdk.dll)。 数据事务由IMR_SOLSendText/IMR_SOLReceiveText执行 ,类似于网络API中的send和recv调用。除了在用于错误检测的数据上添加可变长度的报头之外,所使用的SOL协议与TCP协议相同。此外,更新的客户端在认证之前会发送内容为“007”的未加密分组。
图5. AMT SOL协议错误检测头,长度头和有效载荷
新报头具有各种字段来检测可能的数据损坏错误,包括CRC-16和最高有效位集合(MSB)的二进制索引。
图6.错误检测头的构造
以下视频演示了如何使用PLATINUM组织的工具将恶意软件传输到配备启用了AMT的计算机上:
检测使用AMT的异常二进制文件
如果拥有AMT凭据的攻击者试图在一台启用了Windows Defender ATP的主机上使用SOL信道通信,那么通过行为分析结合机器学习可以检测并阻断目标攻击活动。 Windows Defender ATP显示类似于以下所示的警报。Windows Defender ATP可以区分AMT SOL的合法使用和试图将其用作通信通道的目标攻击。
图7. Windows Defender ATP检测恶意AMT SOL通道活动
据我们所知,PLATINUM组织的工具是第一个滥用芯片组功能的恶意软件样本。虽然PLATINUM组织在此使用的技术与操作系统无关,但Windows Defender ATP可以检测并通知网络管理员此类尝试利用AMT SOL通信通道进行未经授权的活动,特别是在运行Windows的计算机上。
在微软,我们不断监测用于恶意目的新技术的威胁情况。我们还不断建立减轻风险并保护客户的机制。发现PLATINUM组织的这种新技术和检测这类可疑活动,突出表明了Windows Defender ATP团队为客户所做出的杰出努力,为客户提供更多威胁感知能力,以便在网络上发现更多的可疑活动。