据securityaffairs12月30日消息,首次发现的rootkit病毒(又称iLOBleed)正在攻击惠普企业服务器,能够远程感染设备和擦除数据。IntegratedLightingOut(iLO)是HP的嵌入式服务器管理技术,可提供对服务器上安装的所有固件、硬件、软件和操作系统的完全访问。该攻击是由伊朗网络安全公司Amnpardaz发现的,iLOBleed是有史以来第一个针对iLO固件的恶意软件。专家解释说,以iLO为目标的恶意软件是阴险的,因为它以高权限(高于操作系统中的任何访问级别)运行,并且可以保持不被管理员和检测软件检测到。篡改此模块允许恶意软件在操作系统重新安装后继续存在。该Rootkit自2020年首次被发现以来一直被用于攻击,犯罪分子可以使用iLOBleedRootkit来破坏使用HP服务器的组织。“我们分析了一个在野外发现的隐藏在iLO中的rootkit,无法通过固件升级删除,并且可以隐藏很长时间。这种恶意软件已经被黑客使用了一段时间,我们一直在监控它的性能。来自据我们所知,这是世界上第一份在iLO固件中发现真正恶意软件的报告。”根据专家发表的报告。据研究人员称,与其他擦除器不同,该恶意软件的擦除器旨在长时间秘密运行。iLOBleed最突出的功能之一是对iLO固件升级程序的操作。当系统管理员尝试升级iLO固件时,恶意软件会模拟版本更改,同时阻止升级例程。这些攻击的复杂程度构成了APT级别。研究人员说:“仅此一项就表明,该恶意软件被设计为具有最大隐蔽性和逃避所有安全检查的Rootkit。”“一种恶意软件,通过隐藏在强大且始终在线的处理资源中,能够执行从攻击者收到的任何命令而不被发现。”报告显示,“当然,从实施此类攻击所投入的成本不难看出,此类攻击已构成高度持续威胁(APT)。”专家得出结论,攻击者可以通过网络和主机操作系统感染iLO,“这意味着即使iLO电缆完全断开,仍然存在感染恶意软件的可能性。”有趣的是,没有办法在不需要iLO的情况下完全关闭或禁用它。》报告总结。参考来源:https://securityaffairs.co/wordpress/126157/malware/ilobleed-wiper-hp-servers.html
