Theo Neowin, về cơ bản nhóm này có một công cụ truyền tải tập tin trong đó hạt nhân của nó sử dụng kênh Serial-over-LAN (SOL) nằm bên trong AMT cho mục đích giao tiếp. Bởi vì kênh này hoạt động độc lập với hệ điều hành, nó cho phép bất kỳ giao tiếp nào và trở nên vô hình với tường lửa và các ứng dụng giám sát mạng chạy trên thiết bị chủ.
AMT cần đến các truy cập cấp thấp, cho phép bất kỳ ai có thể cài đặt hệ điều hành trên máy từ xa, và cung cấp một giải pháp KVM dựa trên IP. KVM (Keyboard, Video, Mouse) là thiết bị chuyển mạch tín hiệu của bàn phím, chuột và màn hình của nhiều máy chủ khác nhau vào một bàn phím, chuột và màn hình, giúp người quản trị hệ thống có thể truy cập và điều khiển nhiều máy tính hoặc máy chủ một cách dễ dàng và thuận lợi.
Các chuyên gia bảo mật xác nhận rằng công cụ này không để lộ các lỗ hổng trong công nghệ quản lý, nhưng lạm dụng AMT SOL bên trong mạng đã bị xâm nhập sẽ giúp các kết nối trở nên lén lút và trốn tránh các ứng dụng bảo mật.
Hiện tại, các máy tính đang sử dụng dịch vụ Windows Defender ATP (Advanced Threat Protection) chạy Windows 10 phiên bản 1607 trở lên và Configuration Manager 1610 hoặc cao hơn có thể yên tâm.
Microsoft nói rằng đây là mẫu malware đầu tiên "lạm dụng các tính năng của chipset” và nhắc lại rằng công cụ của PLATINUM không phơi bày những sai sót trong AMT, thay vào đó nó trốn tránh các công cụ giám sát an ninh.
Bình luận (0)