2017年6月17日星期六 11:30 PM
[新聞來源]First-Ever Data Stealing Malware Found Using Intel AMT Tool to Bypass Firewall
一般公司為避免資料被偷取都會在公司網路設置防火牆阻檔外部程式入侵公司內部並且偷取資料,但是防火牆並非萬能,首起繞過防火牆偷取資料的惡意軟體技術已經被發現,同時引起Microsoft注意並且已經上patch在自家windows系統,但Linux對此技術是否有因應措施未見在此篇新聞有所報導。
要繞過公司防火牆不被發現並且使用惡意軟體向來大家都知道不是一件容易的事,但只要有管理漏洞就必有駭客存在,駭客還是可以透過Intel的AMT Tool成功繞過防火牆偷取企業內部網路下的電腦的資料,請看下面的概念圖:
從上圖可以知道大概就是駭客把網路存取到電腦的路徑分成兩種,一般我們防的都是第一種傳統網路管道,然駭客則是透過另一個Serial-Over-Lan(SOL) 網路管道來hack目標電腦,而關鍵就在於Intel的AMT晶片工具。
Intel為了讓IT Administrator可以遠端管理並維修客戶端電腦,所以在晶片組上設計了一套Active Management Tool(AMT),該技術甚至使電腦可以在關機狀態下藉由網路被喚醒,只要該電腦電源線以及網路線仍插著。
AMT其實是獨立於Intel main processor的另一組晶片,目的就是讓任何網路封包可以直接繞過傳統網路管道送到電腦端,而AMT在接收網路封包之後便可以主動喚醒電腦在電腦關機的狀態下,喚醒後則可以讓IT人員遠端繼續傳送網路指令來維護電腦,在這種狀態下,傳統網路管道的防火牆起不到任何作用,因為網路封包都是走SOL通道進到電腦。
AMT使用的唯一限制除了要有電源線跟網路線以外,就是需要一組SOL Session使用的帳號密碼,所以駭客必需先想辦法偷取該帳密或者在AMT provisioning期間選擇任一自己想要的帳密便能使用SOL。
在該篇文章我們看到了ATM的威力,其強大在於他可以說是合法通用的網路後門,只要能掌握SOL便可以繞過防火牆通行無阻,即便是在電腦關機的情況下。
留言列表
