Connexion
Abonnez-vous

Un malware détourne la technologie AMT d’Intel pour masquer ses communications

It's not a bug, it's a feature

Un malware détourne la technologie AMT d'Intel pour masquer ses communications

Le 12 juin 2017 à 14h00

Le groupe de pirates Platinum sait utiliser l’AMT d’Intel pour la retourner contre les entreprises qui s’en servent. Contrairement aux soucis précédents avec cette technologie, il ne s’agit pas cette fois de failles de sécurité, mais d’un véritable détournement de ses fonctions.

Début mai, Intel corrigeait une importante faille de sécurité dans sa technologie AMT. L’Active Management Technology est une pile de traitement prenant appui sur le Management Engine, lui-même présent dans les processeurs Intel depuis environ dix ans. AMT fournit aux ordinateurs, lorsqu’elle est active, des fonctionnalités de gestion distante pour faire gagner du temps aux administrateurs. Elle fait partie de l'ensemble vPro.

Comme nous l’expliquions le mois dernier, l’AMT utilise pour communiquer les ports 16992 et 16993. Les communications sont directes, la machine ne voyant pas transiter les paquets de données, que le système d’exploitation soit Windows ou Linux (la technologie prend les deux en charge). Le responsable du réseau peut se servir d’une console web pour lancer des opérations de maintenance ou de virtualisation.

Mais alors qu’il s’agissait d’une faille de sécurité dont l’exploitation représentait un vrai risque pour les serveurs, on parle cette fois d’un détournement de fonctionnalités existantes, pour voler des données.

Aucune vulnérabilité nécessaire cette fois

Microsoft indique sur son blog de sécurité que le groupe de Platinum, qui est loin d’en être à son coup d’essai, a développé une technique visant à se servir d’AMT pour couvrir ses traces, et en particulier d’une fonctionnalité bien précise : Serial-over-LAN.

Elle n’est clairement pas utile partout, car elle permet la manipulation de cartes réseau par le port série. Il ne s’agit en dépit des apparences pas d’une vieille technologie, Intel expliquant notamment dans une page dédiée qu’à l’inverse, il devient possible de contrôler le curseur de la souris alors même que tous les pilotes ont été désactivés. Plus globalement, un PC peut être manipulé indépendamment de tout système d’exploitation, AMT étant parfaitement autonome.

Serial-over-LAN est en fait une solution dite « KVM sur IP », KVM signifiant « keyboard, video and mouse ». Une entreprise peut s’en servir pour installer à distance un système d’exploitation.

Dans le cas présent, Serial-over-LAN est utilisé pour couvrir les traces d’un malware qui aurait réussi à s’infiltrer avant, et non pour provoquer l'infection d'une machine ou d'un réseau. Conséquence, toutes ses communications transitent via AMT, y compris le vol de données, Microsoft précisant que c’est bien l’objectif derrière tant de discrétion.

Une attaque qui ne peut qu'en signaler une autre

Contrairement à d'autres cas symptomatiques que l'on a pu observer dernièrement en matière de sécurité – notamment dans les caméras connectées Foscam – Intel a travaillé la sécurité de son produit. Aussi, l’ouverture du canal de communication Serial-over-LAN ne peut se faire non seulement qu’avec un identifiant et un mot de passe, mais n’est en plus pas activée par défaut.

Mais puisque Microsoft a détecté des attaques utilisant ce vecteur, l’éditeur en déduit que les pirates avaient récupéré les identifiants d’une autre manière. Puisqu’on ne parle toujours pas de faille de sécurité, on a donc affaire à une campagne en deux temps. Microsoft suggère que les entreprises concernées ont peut-être des faiblesses dans leurs réseaux, qui auraient pu permettre ce vol d’informations.

Les pirates se sont servis d’un outil maison faisant appel à l’API Redirection Library (imrsdk.dll), contenue dans le SDK (Software Developement Kit) d’AMT. Toutes les transactions de données sont réalisées via deux méthodes, nommées IMR_SOLSendText() et IMR_SOLReceiveText(), qui sont les équivalents des appels réseau send() and recv(). Microsoft indique que pour le reste, le protocole SOL est pratiquement identique à TCP, si l’on met de côté un en-tête de taille variable ajouté pour la détection d’erreurs.

Une détection par le comportement

Évidemment, comme tout éditeur de solution de sécurité, Microsoft aborde cette menace pour deux raisons : informer de la découverte d’une technique, et mettre en avant sa propre solution, Advanced Threat Protection. Cette dernière, essentiellement disponible dans les entreprises, sait faire selon son développeur la différence entre un trafic SOL légitime et celui signalant une attaque en cours.

Outre l’inévitable aspect publicitaire, Microsoft indique toutefois qu’il s’agit du premier malware détecté à détourner une fonctionnalité reposant sur une technologie intégrée dans un processeur/chipset. La technique est qualifiée d’« ingénieuse » car la seule détection réseau serait inopérante pour la mettre en lumière, le système d'exploitation ne pouvant voir ce qui transite via AMT.

Le billet de l’éditeur met finalement en évidence le détournement d’une technologie dans un réseau compromis d’une autre manière. Il n’y a donc pas de mise à jour de sécurité à attendre. Les administrateurs concernés devront cependant faire attention à la gestion des identifiants du canal SOL, dans le cas où cette solution serait active dans la structure.

Commentaires (43)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Waou, c’est monstrueux comme manière détournée.. j’ai absolument rien compris aux liens entre AMT, la carte réseau désactivée et la présence d’un port série qui ne semble que virtuel, mais je trouve que le résultat final est bluffant.



2 questions cependant :

1/ Est-ce que ça signifie qu’on ne voit rien passer avec un Wireshark, puisque l’interface réseau est désactivée ?

2/ Et ça signifie aussi qu’il ne sert à rien de fermer les ports 16992 et 16993 via un pare-feu ?

votre avatar







Nozalys a écrit :



Waou, c’est monstrueux comme manière détournée.. j’ai absolument rien compris aux liens entre AMT, la carte réseau désactivée et la présence d’un port série qui ne semble que virtuel, mais je trouve que le résultat final est bluffant.



2 questions cependant :

1/ Est-ce que ça signifie qu’on ne voit rien passer avec un Wireshark, puisque l’interface réseau est désactivée ?

2/ Et ça signifie aussi qu’il ne sert à rien de fermer les ports 16992 et 16993 via un pare-feu ?







Je suis pas sur d’avoir tout bien compris, mais si j’ai bien compris :

le traffic en question est masqué à l’os, on ne peut rien détecter depuis la machine infectée, il faut obligatoirement analyser son traffic réseau depuis une autre machine pour voir ce traffic.


votre avatar

Si j’ai bien compris



L’OS de la machine ‘piratée’ ne voit rien. Mais les données passent tout de même quelque part

Donc :




  • en sniffant le réseau, on verra tout (peut-être chiffré, je sais pas)

  • un pare-feu ‘physique’ les verra passer (et pourra les bloquer), mais pas le ‘pare-feu’ intégré à l’OS de la machine ‘piratée’.



    Si j’ai bien compris (j’insiste <img data-src=" />)

votre avatar







eliumnick a écrit :



Je suis pas sur d’avoir tout bien compris, mais si j’ai bien compris :

le traffic en question est masqué à l’os, on ne peut rien détecter depuis la machine infectée, il faut obligatoirement analyser son traffic réseau depuis une autre machine pour voir ce traffic.





Il n’est pas masqué, il est intercepté. C’est pire.



C’est bien ça et avec de la duplication de port s’il vous plait, sous risque de ne pas tout voir…



&nbsp;


votre avatar

De manière générale Intel n’est pas à sa place avec ce type de solutions de “sécurité” qui contourne l’OS en effectuant des opérations sur le réseau.&nbsp; Ils n’apportent rien qui ne pourrait être fait en logiciel dans l’OS host, et cassent la sandbox de protections et paramétrages apportée par l’OS (carte réseau désactivée etc.).

votre avatar

@NXI :

Mon dieu, l’intégration du lecteur HTML5 est une véritable pompe à données personnelles !!



Ghostery fume de partout sur cette page : 28 mouchards détectés et 5 analyseurs de sites… Moi qui désactivais Ghostery sur votre domaine en me pensant en confiance…

votre avatar

Et un grand merci à INTEL pour avoir incorporé un mini-OS propriétaire directement dans ses CPU.



Un mini-Os qui, rappelons le, tourne en ring -3 (plus bas tu meurs) et qui est actif même si votre PC est éteint (sleep ou soft-off). <img data-src=" />

votre avatar

L’AMT doit être configuré au niveau du matériel du serveur, avec identifiants et mot de passe.

Il n’apparait pas tout seul et la fonctionnalité se paie.

1/ La carte ethernet de l’OS ne voit rien.

2/ ça implique que le pirate a eu un accès physique BIOS. le port ouvert n’est “plus si grave” <img data-src=" />

votre avatar







eliumnick a écrit :









Zerdligham a écrit :









psn00ps a écrit :







Merci <img data-src=" /> à vous 3


votre avatar

“Ya plus de processeurs concernés que ce que je pensais”

Cherche AMD PSP tu va rire :/

votre avatar

Bon, alors quelle solution à prix abordable existe pour chez soi ? Un pare-feu physique juste derrière la box, qui ne laisse passer que la dizaine de ports nécessaire ? Sans débourser 2 mois de salaire ?

votre avatar

La solution la moins chère: ne pas prendre une carte mère avec AMT.

votre avatar







Nozalys a écrit :



Bon, alors quelle solution à prix abordable existe pour chez soi ? Un pare-feu physique juste derrière la box, qui ne laisse passer que la dizaine de ports nécessaire ? Sans débourser 2 mois de salaire ?





Pour que cela soit possible, il faut connaitre les user/mot de passe d’accès à l’AMT de la machine.


votre avatar

Oui sauf que comment je sais ça si je ne connais pas la fonctionnalité ? Il y a forcément des identifiants par défaut (au mieux) ou un login-free (au pire) non ?

Et comment sait-on si AMT est géré selon les CPU et selon les chipsets ?

votre avatar

Je crois que c’est mis dans la news mais je retrouve plus où mais, par défaut c’est désactivé.

Faut l’activer dans le BIOS.



Ensuite, si tu veux bloquer les ports depuis l’extérieur (bon, je pense pas que ce soit de l’UPnP donc le port ne s’ouvre pas magiquement non plus il doit être fermé par défaut), en effet, un pare-feu est un bon plan.

Il existe plusieurs routeurs/parefeu, sur lesquels tu peux être assez confiant (plus que ta box mais cest pas dur)

Les EdgeRouter de chez Ubiquiti par exemple. Mais c’est pas libre donc certains te diront que cest backdooré.

Sinon tu peux chercher du côté de PfSense, Vyatta (ca existe encore? c’est libre?)



Sinon tu fait tout from scratch à partir d’une Debian, ou mieux, d’un OS que tu auras codé toi-même et sur du matos que tu auras concu comme un grand <img data-src=" />

votre avatar

Les produits Ubiquiti ça coûte un bras c’est monstrueux… tu ne peux pas proposer ce genre d’équipement au quidam.

votre avatar

heu.. 60€ c’est monstreux?

Le quidam moyen achète un iPhone à 500€ mais n’a pas les moyens d’acheter un routeur à 60€?



Tu m’aurais parler de la configuration je taurais dit oui; tu parles du prix je suis pas d’accord du tout..

votre avatar

60 € ? je vois plutôt des produits à 300 euros minimum… tu parles de quoi du coup ?

votre avatar

Ubiquiti EdgeRouter X =&gt; 60€

Pas sur que tu puisses faire modem/routeur avec mais firewall c’est sur.



Pour 120€ tu as le edgeRouter Lite 3 qui lui fait le café (presque)

votre avatar

Oula, non, surtout pas ubiquiti. La sécurité est assez défaillante (et surtout, pas gérée). Remplacer sa box par ça est assez inutile.



Si tu veux un truc sérieux et pas mité, le meilleur choix est plutôt ceci. Ça coûte cher, mais au moins ça les vaut vraiment.

votre avatar

Cest pas cool de me tenter comme ca!

Le 1G sans Wifi est à 220€..



Ca fait modem ADSL aussi ou je suis obligé de laissé ma box faire la translation ADSL/Ethernet?

votre avatar







white_tentacle a écrit :



Oula, non, surtout pas ubiquiti. La sécurité est assez défaillante (et surtout, pas gérée). Remplacer sa box par ça est assez inutile.





Ouais.. enfin non quand même.. c’est “troué” ok mais ca a son intérêt.

Une forme compatible avec les baies réseau, la gestion de VLAN, les graphs d’utilisation de BP, le DPI, etc


votre avatar

Il y a des routeurs / points d’accès Mikrotik à partif de 30€. <img data-src=" />

votre avatar

Pas assez cher pour être pris au sérieux <img data-src=" />

votre avatar

Je bosse dessus et je peux te dire que c’est très sérieux.

Le firmware est tout simplement de la balle.



Tu peux prendre un routeur Gigabit 12 ports à 1300€ <img data-src=" />



PS: si tu le scriptes comme il faut, il peut ouvrir une URL en ftp ou https et donc faire du café <img data-src=" />

votre avatar

Ca apporte justement la possibilité d’accéder a un serveur sans recourir à l’OS host.

=&gt; un accès “console” homogène sur tous les serveurs (windows, linux, ou même sans-rien).



C’est l’équivalent des boitiers LAN/Serie qu’on branchait au cul des serveurs/routeurs pour administrer l’appareil à distance. Sauf que c’est inclus de base dans le CPU.

votre avatar

Précision, comme le réseau n’est pas nécessaire les pare feu n’y voie … que du feu eux aussi. Donc un canal non controlable, directement intégré dans les proc, a part un bon routeur bien configurer pourra protéger.

votre avatar

Du coup, il se passe quoi si on installe pas les pilotes Intel ?

Parce que bon, il faut quand même un minimum pour que ça interagisse avec l’OS, non ?

votre avatar

“Plus globalement, un PC peut être manipulé indépendamment de tout système d’exploitation, AMT étant parfaitement autonome.”

&nbsp;Tu as ta réponse, non ? :)

votre avatar







Arcy a écrit :



Du coup, il se passe quoi si on installe pas les pilotes Intel ?

Parce que bon, il faut quand même un minimum pour que ça interagisse avec l’OS, non ?





Vu que c’est pour cacher une première attaque j’imagine que cette dernière s’occupe de livrer gentillement les pilotes nécessaires









karma1911 a écrit :



“Plus globalement, un PC peut être manipulé indépendamment de tout système d’exploitation, AMT étant parfaitement autonome.”

 Tu as ta réponse, non ? :)





J’imagine qu’il parlait de la récupération des données, d’où imrsdk.dll qui est tout de même nécessaire pour envoyer les données de l’OS vers AMT



(moi aussi, “si j’ai bien compris”)


votre avatar

Effectivement, j’avais oublié ce point là. En même temps, c’est plutôt logique, étant donné que l’OS a besoin du processeur (position d’intermédiaire dans la chaine) pour effectuer les opérations, inutile de douter qu’il peut faire ça de lui-même …



Le pilote doit juste servir à la première configuration donc.



Et sinon, ce tour de passe-passe fonctionne en wifi aussi (avec ports USB alimentés) ou c’est impérativement Ethernet ?

Parce que j’imagine que si tous les équipements d’un réseau sont basés sur du Intel (téléphone, tablette, PC, PC portable), ça doit faire pas mal de dégâts sans que personne ne s’en rendent compte.

votre avatar

AMT est un truc pour les entreprises. Il n’est dispo que sur les processeurs flaggués vPro.

Pour le moment ce n’est donc pas tous les processeurs qui sont concernés.

AMT n’étant de plus d’aucun intérêt sur des machines nomades (c’est utilisé pour des déploiements dOS à distance principalement) on peut espérer ne jamais lavoir actif dans nos outils perso

votre avatar







PtiDidi a écrit :



AMT est un truc pour les entreprises. Il n’est dispo que sur les processeurs flaggués vPro. Pour le moment ce n’est donc pas tous les processeurs qui sont concernés.







un seul mot: LOL !


votre avatar

AMT est sur les postes de travail aussi via vPro. C’est comme du HP ilo ou Dell RAC, tant que la machine est connectée au réseau et avec une alimentation électrique de branchée, cela fonctionne (sous réserve AMT activé toussa toussa).



Un beau détournement en tout cas.



&nbsp;

votre avatar

My bad, you’re right <img data-src=" /> Ya plus de processeurs concernés que ce que je pensais (faut plutôt chercher ceux qui ne le sont pas en fait..)



Ceci étant, je maintiens que :

“AMT est un truc pour les entreprises” =&gt; le particulier n’a aucun intérêt. Ou alors besoin très specifique

“Il n’est dispo que pour les processeurs flaggués vPro” =&gt; AMT fait parti des features vPro

“Pour le moment ce n’est donc pas tous les processeurs qui sont concernés.” =&gt; tous les processeurs qui sortent ne sont pas flaggués vPro



Mes affirmations n’étaient pas fausses.

Le tout en revanche n’était pas cohérent en réponse à la question posée.

votre avatar

Jusqu’a récemment c’est vrai que vPro n’était que sur les serveurs. Donc pas d’inquiétude pour les PC domestiques.



Mais maintenant, vPro est sur les solutions estampillées “business”, et ca inclut les laptop, ultrabook, All-In-Ones, mini-pc, ….



C’est de moins en moins cantonné au back-office.

votre avatar

En tout cas, ça aura le mérite de mettre en lumière le fait que oui, c’est important de savoir que le matériel aussi peut réfléchir tout seul…

votre avatar

L’amt est une fonction de l’intel Management Engine (Intel ME)

L’intel ME boot avec le hardware il a sa propre carte réseaux séparer et un access complet a la RAM et périphérique etc….

Il boot in Mini OS (son noyau d’ailleurs c’est mimix3) dont les fonctions diverse est varier vont nous pourrir l’existence.

Stallman avait raison.

Soit on a le contrôle de soit PC soit on ne l’a pas.

Pour ceux qui cherche du matos sur lequel on a retirer L’intel ME, c’est par ici:

https://store.vikings.net/libre-friendly-hardware

votre avatar

Mais du coup, ça signifie que si les 2 ports en question sont ouverts sur une box, on peut démarrer à distance ta machine perso, pomper n’importe quels fichiers du disque dur, et l’éteindre ensuite, tout ça pendant que t’es pas chez toi et que tu ne te seras jamais rendu compte de rien ?

votre avatar

“et que tu ne te seras jamais rendu compte de rien ?



&nbsp;Oui

Ça fait depuis 2004 environ que le monde du logiciel libre et les expert en sécurité ont prévenue Intel (et AMD a commencer récemment avec son PSP) et essaie de prévenir le public mais bizarrement le message ne passe pas.

j’ai l’impression qu’une catastrophe énorme dois arriver pour qu’il y ai une réaction quelconque.



Ça peut aller bien plus loin que tes exemples.

Imagine le contrôle total de ta machine en clair a distance.

Le gars peut utiliser PGP qu’est ce ca peut faire puisqu’ils peuvent pomper directement dans la RAM.

Ou encore ajouter des fichiers t’incriminent de pédophilie ou autre.

Ils peuvent aussi utiliser les ressources de ta machine comme n’importe quelle botnet pour X calcul ou encore DDOS un adversaire.

On suspect d’ailleurs que une partie du réseaux a était utiliser en octobre 2016 pour des attacks ddos.

Recherche par toit même les événement d’octobre 2016 concernant wikileaks beaucoup trop de chose/coïncidences se sont manifester :‘(

votre avatar

Test avec umatrix c’est aussi fun ^^

votre avatar

Ya des mikrotik qui intègre le modem ADSL?

Ou faut toujours sa box en bridge en front?

votre avatar

Pas de modem adsl intégré, non. Donc obligation de garder la box…

Un malware détourne la technologie AMT d’Intel pour masquer ses communications

  • Aucune vulnérabilité nécessaire cette fois

  • Une attaque qui ne peut qu'en signaler une autre

  • Une détection par le comportement

Fermer