Introducing Ring -3 Rootkits

• AMT (Active Management Technology)

• Désactivé par défaut
• Mais portions de code tout de même exécutées... périodiquement !
• Possibilité de hooker ces portions pour exécuter notre code
• AMT chargé dans les 16 Mo les plus hauts dans la mémoire
• Accès bloqué par le Northbridge
• Accès possible en exploitant la faille de memory remapping sur les chipsets Q35 d'Intel (cf. BlackHat USA 2008 – Rutkowska)
• Ne marche plus sur les Q45...

• Preuve de concept publiée le 25 août 2009