我们发现一个以前未知的rootkit,它瞄准了惠普企业的Integrated Lights Out(iLO)服务器管理技术,并进行攻击,篡改固件模块并彻底清除受感染系统中的数据。
伊朗网络安全公司Amnpardaz本周记录了这一发现,这是iLO固件中第一个真实恶意软件的实例。
“iLO有许多特点使其成为恶意软件和APT组织的理想乌托邦:极高的权限(高于操作系统中的任何访问级别);对硬件的访问级别非常低;管理员和安全工具难以检测检测;大众普遍缺乏检查和/或保护iLO的知识和工具,即使在更改操作系统后,恶意软件仍能持久存在,更强的是,它能始终运行且不关闭,”研究人员说。
除了管理服务器外,iLO模块还可以广泛访问服务器上安装的所有固件、硬件、软件和操作系统(OS),这一事实使它们成为破坏 HP服务器的组织的理想选择,同时也使恶意软件能够在重新启动后保持持久性并在重新安装操作系统后存活。然而,用于渗透网络基础设施和部署数据清洁器的确切操作方式仍然未知。

名为iLOBleed的rootkit自2020年开始用于攻击,其目标是操纵大量原始固件模块,以秘密阻止固件更新。具体地说,对固件例程所做的修改仿造了固件升级过程——据称显示了正确的固件版本并添加了相关日志——而实际上没有执行更新。
研究人员说:“仅此一点就表明,这种恶意软件的目的是成为一个具有最大隐秘性的rootkit,并躲避所有安全检查。”“通过隐藏在最强大的处理资源之一(始终处于运行状态)中,能够执行攻击者发送的任何命令,而不会被检测到。”

尽管敌手身份不明,但Amnpardaz将该rootkit描述为可能是高级持续威胁(APT)的手笔,APT是一个民族国家或国家赞助的团体,使用连续、秘密,以及复杂的黑客技术,以获得对系统的未经授权的访问,并在设备内部长时间停留而不引起注意。
如果有什么不同的话,黑客技术的进步再次将固件安全性纳入了关注的焦点,这就需要及时应用制造商提供的固件更新以降低潜在风险,将iLO网络与操作网络分开,并定期监控固件是否存在感染迹象。
研究人员指出:“另一个重要的问题是,有一些方法可以通过网络和主机操作系统访问和感染iLO。”“这意味着,即使iLO网络电缆完全断开,仍有可能感染恶意软件。有趣的是,就算不使用iLO,也无法完全关闭或禁用iLO。”
原文链接:https://hackernews.cc/archives/37171
*来自:HackerNews.cc