在 2016年4月, microsoft发布了PLATINUM(铂金): 在南亚和东南亚有针对性的攻击, 详细介绍了PLATINUM的策略、技术和程序,描述了白金是如何使用 windows server 2003 中引入的hotpatching (热补丁)功能 (windows 8 删除), 在运行进程中注入恶意代码。
PLATINUM的目标主要是战略性的: 政府机构、国防承包商和情报机构, 以及电信等关键行业。
近期,PLATINUM的文件传输工具正在演变, 它使用了英特尔®主动管理技术 (AMT) Serial-over lan (SOL) 通道进行通信。此通道独立于操作系统工作, 对主机设备上运行的防火墙和网络监视应用程序不可见。
AMT SOL设备
而在此之前, 没有发现任何恶意软件滥用的 AMT SOL 功能的通信。而该漏洞5月刚被曝光,MalwareBenchmark也发布过相关文章(详见订阅号内文章(点击可阅读):)~!
在发现此独特的文件传输工具后, microsoft 与 intel 共享信息,协作分析,解密了该工具的用途和实现方法。
AMT SOL 组件栈
AMT SOL能独立于设备主机操作系统的网络堆栈–使用其自己的网络堆栈并可以访问硬件网络接口。这意味着即使在主机上禁用了网络, 只要设备物理连接到网络上, SOL仍然可以正常工作。此外, 由于 SOL通信绕过主机网络堆栈, 因此它不能被在主机设备上运行的防火墙应用程序阻止。
但建立SOL会话需要启用AMT,且需要用户名密码。因此,PLATINUM一种可能是获取了系统管理权限,并启用AMT;另一种可能是受害者网络失密了。
PLATINUM如何使用AMT?
PLATINUM一个版本的文件传输工具中, 使用常规网络 api, 通过 tcp/ip 进行网络通信。表示层协议非常简单: 缓冲区由两个字节的报头 (指示长度) 和Blowfish-encrypted 加密的有效载荷组成。
PLATINUM文件传输工具控制流
使用到的TCP协议头和载荷
PLATINUM文件传输工具中的新的 SOL 协议使用了 AMT SDK的重定向api (imrsdk.dll)。数据传输利用类似send()和recv()的IMR_SOLSendText ()/IMR_SOLReceiveText () 执行。此外, 更新后的客户端还会在身份验证前发送未加密的”007″” 数据包。
AMT SOL协议头:错误检测、长度和载荷
新报头有各种字段来检测可能的数据损坏错误, 包括 CRC-16 和most significant bits (MSB)。
错误检测代码
微软则称Windows Defender ATP与机器学习结合的行为分析可以检测目标攻击活动,可以区分的合法使用 AMT SOL和攻击者试图使用它作为一个通信通道的行为。
Windows Defender ATP
当然值得注意的是,PLATINUM本质是利用AMT SOL作为通信信道,还不是利用AMT被曝光的漏洞~!但可以预期的是,5月AMT漏洞的曝光后,未来必将出现利用该漏洞的攻击行为和工具。
另外,从PLATINUM攻击的行为来看,传统的诸如防火墙的网络安全防御技术正面临着越来越多,前所有未有的挑战。
订阅号内相关文章(点击可阅读):
参考:
PLATINUM continues to evolve, find ways to maintain invisibility