微软研究人员发现一个黑客团伙的文件传输工具可利用英特尔的Active Management Technology来绕过Windows内置防火墙。那么，Platinum的软件是如何滥用英特尔的管理工具呢？

Michael Cobb：该黑客团伙被称为Platinum，其恶意文件传输工具最早于2016年被发现，随后该团伙还进一步改善了这个工具。目前该工具可利用英特尔的Active Management Technology（AMT）固件来绕过防火墙和其他基于端点的防御措施。

该AMT存在于英特尔vPro处理器和芯片中，主要用于远程管理。根据微软和英特尔表示，这是第一次发现高级持续威胁以这种方式滥用芯片组。

英特尔AMT运行在英特尔管理引擎（ME）中，该引擎在位于芯片组的嵌入式处理器上运行着自己的操作系统，并使用自己的网络堆栈。由于此嵌入式处理器与英特尔主处理器分离，即使当主处理器断电，它也可以执行，从而提供带外远程管理功能，因为它可访问硬件网络接口。

英特尔AMT的串行LAN（SOL）功能利用ME的网络堆栈，使其即使在主机网络禁用网络的情况下也可通信—只要设备物理连接到网络即可。另外，由于SOL独立于操作系统和主机的网络堆栈运行，因此通过它的任何通信可躲过主机设备运行的防火墙、反恶意软件和网络监控应用。这使它成为黑客的理想工具。

Platium已经升级其原来的文件传输工具，原来的工具是利用常规网络API来利用SOL通信通道。然而，想要利用最新版本的工具，Platinum首先需要获得系统的管理权限。这是因为默认情况下AMT为关闭状态，并且需要管理权限才能建立SOL会话。这意味着Platium需要获取受害者网络的特定登陆凭证，或者在获取系统管理权限后，配置英特尔AMT并设置自己的登陆凭证。

微软的Windows Security博客提供了有关这些攻击的详细图表和视频。在博客中，微软指出，Platinum工具并不没有暴露英特尔AMT的漏洞，而是利用它来规避受感染网络中的安全监控工具。
Platium利用的是合法管理工具，所以有一种应对方法就是不要启用英特尔AMT以及关闭串行LAN通信。即使Windows Defender高级威胁防护可检测并通知网络管理员有人试图利用AMT SOL通信通道进行未经授权活动，但还需要强大的安全做法来管理对特权账号的访问。

Platium的做法是使用鱼叉式网络钓鱼活动和微软Office文档来利用未经修复和已知漏洞，从而安装后门程序和其他代码以在网络立足。他们的目标主要在东南亚，这包括政府机构、国防承包商和情报机构，以及电信等关键行业。

对于网络钓鱼攻击以及防止攻击者在网络中获得初始立足点，至关重要的始终是提供最新的安全意识培训。