Исследователи корпорации Microsoft выявили семейство вредоносного ПО, которое использует в качестве средства передачи данных технологию Intel Serial-over-LAN (SOL). Эта технология является частью инструментария Intel Active Management Technology.

Трафик SOL направляется в обход сетевого стека локального компьютера, что делает его невидимым для антивирусного ПО и фаерволлов. Это связано с тем, что SOL является частью Intel Management Engine (ME), фактически отдельного процессора, встроенного в ЦП Intel и работающего под управлением собственной операционной системы.

Intel ME продолжает функционировать даже когда основной процессор отключен, и если компьютер в данный момент имеет соединение с сетями, то существует возможность передачи данных.

Эта функция довольно мало известна, но в целом она была разработана с целью помочь системным администраторам крупных компаний управлять обширным парком пользовательских рабочих станций.

Active Management Technology обеспечивает функции удаленного администрирования для процессоров с поддержкой технологий Intel vPro. Даже в отключенном состоянии интерфейс AMT SOL позволяет передавать данные по протоколу TCP, что открывает определенные возможности для злоупотреблений.

Функции AMT SOL деактивированы по умолчанию, задействовать их может только системный администратор. Это снижает степень риска. Но в крупных компаниях SOL довольно часто используется по назначению. Зная это, злоумышленники написали код, позволяющий красть данные через SOL.

В Microsoft утверждают, что их решение Windows Defender ATP способно различать легитимный трафик, идущий через AMT SOL, и попытки использовать этот канал для целевых атак.