Kötü amaçlı yazılım, verileri çalmak ve güvenlik duvarlarını önlemek için Intel işlemcilerin bir özelliğini kullanır

Microsoft'un güvenlik ekibi, dosya aktarım aracı olarak Intel'in Aktif Yönetim Teknolojisi (AMT) LAN Üzerinden Seri (SOL) arayüzünden yararlanan yeni bir kötü amaçlı yazılım keşfetti.

Intel AMT SOL teknolojisi çalıştığı için, SOL arabirim trafiği yerel bilgisayar ağlarını atlar, bu nedenle yerel olarak yüklenmiş güvenlik duvarları veya güvenlik ürünleri yurtdışına veri gönderirken kötü amaçlı yazılımları algılayamaz veya engelleyemez.

Intel AMT SOL gizli bir ağ arabirimi sunar

Intel AMT SOL, Intel CPU'larına yerleşik ayrı bir işlemci olan ve kendi işletim sistemini çalıştıran Intel ME'nin (Yönetim Motoru) bir parçası olduğu için bu mümkün görünüyor.

Intel ME, ana işlemci kapalıyken bile çalışır ve bu özellik garip görünse de, Intel, yüzlerce bilgisayardan oluşan büyük ağları yöneten şirketlere uzaktan yönetim özellikleri sağlamak için dahil etti.

Ancak iyi haber, Intel AMT SOL arayüzünün tüm Intel CPU'larda varsayılan olarak devre dışı bırakılmış olmasıdır, bu nedenle PC sahibi veya yerel sistem yöneticisinin bu özelliği manuel olarak etkinleştirmesi gerekir. Ancak Microsoft, virüs bulaşmış bilgisayarlardan veri çalmak için arabirimden yararlanan bir siber casusluk grubu tarafından oluşturulan kötü amaçlı yazılımları keşfetti.

Microsoft, PLATINUM olarak bilinen bir gruba ait bilgisayar korsanlarının virüslü bilgisayarlarda bu özelliği etkinleştirmek için gizli bir yol bulup bulmadığını veya yalnızca etkin bulup kullanmadıklarını ve kullanmaya karar verdiklerini açıklamadı.

Bu gerçekler göz önüne alındığında, Microsoft kötü amaçlı yazılımın çalışmasını tanımlayabildiğini ve AMT SOL arayüzüne erişmeden önce algılamak için Windows Defender ATP için bir güncelleme yayınladığını söyledi.