被浏览:8336
关注者:396
最佳回答:
一个以前未知的 rootkit 被发现将目光投向了惠普企业服务器管理技术,以执行篡改固件模块并从受感染系统中完全擦除数据的野外攻击。
伊朗网络安全公司 Amnpardaz 本周记录了这一发现,这是 iLO 固件中第一个真实世界恶意软件的实例。
“iLO 的许多方面使其成为恶意软件和 APT组织的理想乌托邦:极高的特权(高于操作系统中的任何访问级别)、对硬件的极低级别访问、完全不在视线范围内 管理员和安全工具,普遍缺乏检查 iLO 和/或保护它的知识和工具,它为恶意软件提供的持久性即使在更改操作系统后仍然存在,特别是始终运行且永不关闭, ”研究人员说。
除了管理服务器之外,iLO 模块还可以广泛访问服务器上安装的所有固件、硬件、软件和操作系统 (OS),这一事实使它们成为使用 HP 服务器破坏组织的理想候选者,同时还使恶意软件能够在重新启动后保持持久性,并在操作系统重新安装后继续存在。然而,用于渗透网络基础设施和部署雨刮器的确切操作方式仍然未知。
被称为iLOBleed,自2020年以来,rootkit已被用于攻击,其目标是操纵许多原始固件模块,以隐蔽地阻止固件的更新。具体而言,对固件例程所做的修改模拟固件升级过程 - 据称通过显示正确的固件版本并添加相关日志 - 而实际上没有执行任何更新。
"仅此一点就表明,这种恶意软件的目的是成为具有最大隐身性的rootkit,并躲避所有安全检查,"研究人员说。"恶意软件通过隐藏在最强大的处理资源之一(始终处于打开状态)中,能够执行从攻击者那里收到的任何命令,而不会被检测到。
获赞:114
收藏:36
回答时间:2022-12-12 13:58:28