据 securityaffairs 12月30日消息,某个首次发现的 rootkit 病毒(也称为 iLOBleed)正针对惠普企业服务器展开攻击,能够从远程感染设施并擦除数据。
集成灯控(iLO)是惠普旗下的嵌入式服务器管理技术,该模块可以完全访问服务器上安装的所有固件、硬件、软件和操作系统。
此次攻击由伊朗网络安全公司 Amnpardaz 发现,iLOBleed 是有史以来首次针对 iLO 固件的恶意软件。
专家解释说,针对 iLO 的恶意软件非常阴险,因为它以高权限运行(高于操作系统中的任何访问级别),可以做到不被管理员和检测软件察觉。通过篡改此模块,允许恶意软件在重新安装操作系统后继续存在。
自2020年被首次发现以来,该rootkit被运用于攻击中,不法分子可以使用iLOBleed rootkit来破坏使用惠普服务器的组织。
“我们分析了一个在野外发现的 rootkit,它隐藏在 iLO 内部,无法通过固件升级移除,并且可以长时间隐藏。该恶意软件已被黑客使用一段时间,我们一直在监控其性能。据我们所知,这是全球首次在 iLO 固件中发现真实存在的恶意软件报告。” 专家发表的报告显示。
据研究人员称,与其他擦除器不同,该恶意软件的擦除器就是设计用来进行长时间的隐身操作。iLOBleed 最突出的功能之一是操纵 iLO 固件升级例程,当系统管理员尝试升级 iLO 固件时,恶意软件会在阻止升级例程的同时模拟版本更改。
这些攻击的复杂程度已经构成APT级别。
研究人员说:“仅此一项就表明,该恶意软件的目的是成为具有最大隐蔽性并躲避所有安全检查的 rootkit。” “一种恶意软件,通过隐藏在强大且始终开启的处理资源中,能够执行从攻击者那里收到的任何命令,而不会被发现。” 报告显示,“当然,从其执行此类攻击投入的成本不难看出,此类攻击已经构成了高持续性威胁(APT)。”
专家总结道,攻击者可以通过网络和主机操作系统感染 iLO。
“这意味着即使 iLO 网线完全断开,仍然存在感染恶意软件的可能。有趣的是,在不需要iLO的情况下,却没有办法完全关闭或禁用它。”报告最后说。