맬웨어는 인텔 프로세서의 기능을 사용하여 데이터를 훔치고 방화벽을 방지합니다.

Microsoft의 보안 팀은 Intel의 AMT (Active Management Technology) SOL (Serial-over-LAN) 인터페이스 를 파일 전송 도구로 이용하는 새로운 맬웨어를 발견 했습니다.

Intel AMT SOL 기술이 실행되고 있기 때문에 SOL 인터페이스 트래픽은 로컬 컴퓨터 네트워크를 우회하므로 로컬로 설치된 방화벽이나 보안 제품은 데이터를 해외로 보내는 동안 맬웨어를 감지하거나 차단할 수 없습니다.

인텔 AMT SOL, 숨겨진 네트워크 인터페이스 공개

Intel AMT SOL은 Intel CPU에 내장 된 별도의 프로세서 인 Intel ME (Management Engine)의 일부이므로 자체 운영 체제를 실행하기 때문에 가능합니다.

인텔 ME는 메인 프로세서가 꺼져있을 때도 실행되며이 기능은 이상하게 보일 수 있지만 수백 대의 컴퓨터로 구성된 대규모 네트워크를 관리하는 회사에 원격 관리 기능을 제공하기 위해 통합되었습니다.

그러나 좋은 소식은 모든 Intel CPU 에서 Intel AMT SOL 인터페이스 가 기본적으로 비활성화되어 있으므로 PC 소유자 또는 로컬 시스템 관리자가이 기능을 수동으로 활성화해야한다는 것입니다. 그러나 Microsoft는 사이버 스파이 그룹에서 만든 악성 프로그램을 발견하여 감염된 컴퓨터의 데이터를 훔치기 위해 인터페이스를 활용합니다.

Microsoft는 PLATINUM 이라는 그룹에 속하는 해커가 감염된 컴퓨터에서이 기능을 활성화 할 수있는 비밀 방법을 찾았는지 또는 단순히 활성화하여 사용하기로 결정했는지는 밝히지 않았습니다.

이러한 사실을 감안할 때 Microsoft는 AMT SOL 인터페이스에 액세스하기 전에 탐지하기 위해 작동하는 맬웨어를 식별하고 Windows Defender ATP 에 대한 업데이트를 릴리스했다고 밝혔습니다.