评论员文章

(资料图片仅供参考)

一个以前未知的 rootkit 被发现将目光投向了惠普企业服务器管理技术，以执行篡改固件模块并从受感染系统中完全擦除数据的野外攻击。

伊朗网络安全公司 Amnpardaz 本周记录了这一发现，这是 iLO 固件中第一个真实世界恶意软件的实例。

“iLO 的许多方面使其成为恶意软件和 APT组织的理想乌托邦：极高的特权（高于操作系统中的任何访问级别）、对硬件的极低级别访问、完全不在视线范围内 管理员和安全工具，普遍缺乏检查 iLO 和/或保护它的知识和工具，它为恶意软件提供的持久性即使在更改操作系统后仍然存在，特别是始终运行且永不关闭， ”研究人员说。

除了管理服务器之外，iLO 模块还可以广泛访问服务器上安装的所有固件、硬件、软件和操作系统 （OS），这一事实使它们成为使用 HP 服务器破坏组织的理想候选者，同时还使恶意软件能够在重新启动后保持持久性，并在操作系统重新安装后继续存在。然而，用于渗透网络基础设施和部署雨刮器的确切操作方式仍然未知。

被称为iLOBleed，自2020年以来，rootkit已被用于攻击，其目标是操纵许多原始固件模块，以隐蔽地阻止固件的更新。具体而言，对固件例程所做的修改模拟固件升级过程 - 据称通过显示正确的固件版本并添加相关日志 - 而实际上没有执行任何更新。

"仅此一点就表明，这种恶意软件的目的是成为具有最大隐身性的rootkit，并躲避所有安全检查，"研究人员说。"恶意软件通过隐藏在最强大的处理资源之一（始终处于打开状态）中，能够执行从攻击者那里收到的任何命令，而不会被检测到。