新型惡意軟件 iLOBleed Rootkit，首次針對惠普 iLO 固件

據 securityaffairs 12月30日消息，某個首次發現的 rootkit 病毒（也稱為 iLOBleed）正針對惠普企業服務器展開攻擊，能夠從遠程感染設施并擦除數據。

集成燈控(iLO)是惠普旗下的嵌入式服務器管理技術，該模塊可以完全訪問服務器上安裝的所有固件、硬件、軟件和操作系統。

此次攻擊由伊朗網絡安全公司 Amnpardaz 發現，iLOBleed 是有史以來首次針對 iLO 固件的惡意軟件。

專家解釋說，針對 iLO 的惡意軟件非常陰險，因為它以高權限運行（高于操作系統中的任何訪問級別），可以做到不被管理員和檢測軟件察覺。通過篡改此模塊，允許惡意軟件在重新安裝操作系統后繼續存在。

自2020年被首次發現以來，該rootkit被運用于攻擊中，不法分子可以使用iLOBleed rootkit來破壞使用惠普服務器的組織。

“我們分析了一個在野外發現的 rootkit，它隱藏在 iLO 內部，無法通過固件升級移除，并且可以長時間隱藏。該惡意軟件已被黑客使用一段時間，我們一直在監控其性能。據我們所知，這是全球首次在 iLO 固件中發現真實存在的惡意軟件報告。” 專家發表的報告顯示。

據研究人員稱，與其他擦除器不同，該惡意軟件的擦除器就是設計用來進行長時間的隱身操作。iLOBleed 最突出的功能之一是操縱 iLO 固件升級例程，當系統管理員嘗試升級 iLO 固件時，惡意軟件會在阻止升級例程的同時模擬版本更改。

這些攻擊的復雜程度已經構成APT級別。

研究人員說：“僅此一項就表明，該惡意軟件的目的是成為具有最大隱蔽性并躲避所有安全檢查的 rootkit。” “一種惡意軟件，通過隱藏在強大且始終開啟的處理資源中，能夠執行從攻擊者那里收到的任何命令，而不會被發現。” 報告顯示，“當然，從其執行此類攻擊投入的成本不難看出，此類攻擊已經構成了高持續性威脅(APT)。”

專家總結道，攻擊者可以通過網絡和主機操作系統感染 iLO。

“這意味著即使 iLO 網線完全斷開，仍然存在感染惡意軟件的可能。有趣的是，在不需要iLO的情況下，卻沒有辦法完全關閉或禁用它。”報告最后說。

參考來源：

https://securityaffairs.co/wordpress/126157/malware/ilobleed-wiper-hp-servers.html