[[443313]]

據(jù) securityaffairs 12月30日消息，某個首次發(fā)現(xiàn)的 rootkit 病毒(也稱為 iLOBleed)正針對惠普企業(yè)服務(wù)器展開攻擊，能夠從遠(yuǎn)程感染設(shè)施并擦除數(shù)據(jù)。

集成燈控(iLO)是惠普旗下的嵌入式服務(wù)器管理技術(shù)，該模塊可以完全訪問服務(wù)器上安裝的所有固件、硬件、軟件和操作系統(tǒng)。

此次攻擊由伊朗網(wǎng)絡(luò)安全公司 Amnpardaz 發(fā)現(xiàn)，iLOBleed 是有史以來首次針對 iLO 固件的惡意軟件。

專家解釋說，針對 iLO 的惡意軟件非常陰險，因為它以高權(quán)限運行(高于操作系統(tǒng)中的任何訪問級別)，可以做到不被管理員和檢測軟件察覺。通過篡改此模塊，允許惡意軟件在重新安裝操作系統(tǒng)后繼續(xù)存在。

自2020年被首次發(fā)現(xiàn)以來，該rootkit被運用于攻擊中，不法分子可以使用iLOBleed rootkit來破壞使用惠普服務(wù)器的組織。

“我們分析了一個在野外發(fā)現(xiàn)的 rootkit，它隱藏在 iLO 內(nèi)部，無法通過固件升級移除，并且可以長時間隱藏。該惡意軟件已被黑客使用一段時間，我們一直在監(jiān)控其性能。據(jù)我們所知，這是全球首次在 iLO 固件中發(fā)現(xiàn)真實存在的惡意軟件報告。” 專家發(fā)表的報告顯示。

據(jù)研究人員稱，與其他擦除器不同，該惡意軟件的擦除器就是設(shè)計用來進行長時間的隱身操作。iLOBleed 最突出的功能之一是操縱 iLO 固件升級例程，當(dāng)系統(tǒng)管理員嘗試升級 iLO 固件時，惡意軟件會在阻止升級例程的同時模擬版本更改。

這些攻擊的復(fù)雜程度已經(jīng)構(gòu)成APT級別。

研究人員說：“僅此一項就表明，該惡意軟件的目的是成為具有最大隱蔽性并躲避所有安全檢查的 rootkit。” “一種惡意軟件，通過隱藏在強大且始終開啟的處理資源中，能夠執(zhí)行從攻擊者那里收到的任何命令，而不會被發(fā)現(xiàn)。” 報告顯示，“當(dāng)然，從其執(zhí)行此類攻擊投入的成本不難看出，此類攻擊已經(jīng)構(gòu)成了高持續(xù)性威脅(APT)。”

專家總結(jié)道，攻擊者可以通過網(wǎng)絡(luò)和主機操作系統(tǒng)感染 iLO。

“這意味著即使 iLO 網(wǎng)線完全斷開，仍然存在感染惡意軟件的可能。有趣的是，在不需要iLO的情況下，卻沒有辦法完全關(guān)閉或禁用它。”報告最后說。

參考來源：https://securityaffairs.co/wordpress/126157/malware/ilobleed-wiper-hp-servers.html