評論員文章

(資料圖片僅供參考)

一個以前未知的 rootkit 被發(fā)現(xiàn)將目光投向了惠普企業(yè)服務(wù)器管理技術(shù)，以執(zhí)行篡改固件模塊并從受感染系統(tǒng)中完全擦除數(shù)據(jù)的野外攻擊。

伊朗網(wǎng)絡(luò)安全公司 Amnpardaz 本周記錄了這一發(fā)現(xiàn)，這是 iLO 固件中第一個真實(shí)世界惡意軟件的實(shí)例。

“iLO 的許多方面使其成為惡意軟件和 APT組織的理想烏托邦：極高的特權(quán)（高于操作系統(tǒng)中的任何訪問級別）、對硬件的極低級別訪問、完全不在視線范圍內(nèi) 管理員和安全工具，普遍缺乏檢查 iLO 和/或保護(hù)它的知識和工具，它為惡意軟件提供的持久性即使在更改操作系統(tǒng)后仍然存在，特別是始終運(yùn)行且永不關(guān)閉， ”研究人員說。

除了管理服務(wù)器之外，iLO 模塊還可以廣泛訪問服務(wù)器上安裝的所有固件、硬件、軟件和操作系統(tǒng) （OS），這一事實(shí)使它們成為使用 HP 服務(wù)器破壞組織的理想候選者，同時還使惡意軟件能夠在重新啟動后保持持久性，并在操作系統(tǒng)重新安裝后繼續(xù)存在。然而，用于滲透網(wǎng)絡(luò)基礎(chǔ)設(shè)施和部署雨刮器的確切操作方式仍然未知。

被稱為iLOBleed，自2020年以來，rootkit已被用于攻擊，其目標(biāo)是操縱許多原始固件模塊，以隱蔽地阻止固件的更新。具體而言，對固件例程所做的修改模擬固件升級過程 - 據(jù)稱通過顯示正確的固件版本并添加相關(guān)日志 - 而實(shí)際上沒有執(zhí)行任何更新。

"僅此一點(diǎn)就表明，這種惡意軟件的目的是成為具有最大隱身性的rootkit，并躲避所有安全檢查，"研究人員說。"惡意軟件通過隱藏在最強(qiáng)大的處理資源之一（始終處于打開狀態(tài)）中，能夠執(zhí)行從攻擊者那里收到的任何命令，而不會被檢測到。