针对具有数据擦除攻击的HP企业服务器的新iLoeed Rootkit

一个以前未知的rootkit被发现，它瞄准了惠普企业的集成熄灯（iLO）服务器管理技术，以在野外进行攻击，篡改固件模块，并完全清除受感染系统上的数据

伊朗网络安全公司Amnpardaz本周记录了这一发现，这是iLO固件中第一个真实世界恶意软件的实例

“iLO有许多方面使其成为恶意软件和APT群体的理想乌托邦：极高的权限（高于操作系统中的任何访问级别），对硬件的访问级别非常低，管理员和安全工具完全看不见，普遍缺乏用于检查和/或保护iLO的知识和工具，即使在更改操作系统后，它仍能保持恶意软件的持久性，尤其是始终运行且从不关闭，研究人员说

除了管理服务器，iLO模块可以广泛访问服务器上安装的所有固件、硬件、软件和操作系统（OS），这一事实使它们成为使用HP服务器的组织的理想选择，同时也使恶意软件能够在重新启动后保持持久性，并在操作系统重新安装后存活。然而，潜入网络基础设施并部署雨刷器的具体操作方式目前仍不得而知

rootkit被称为，自2020年以来一直在攻击中使用，其目标是操纵许多原始固件模块，以秘密阻止固件的更新。具体来说，对固件例程所做的修改模拟了固件升级过程—；通过显示正确的固件版本并添加相关日志—；实际上，不会执行任何更新##“仅此一点就表明，这种恶意软件的目的是成为一个具有最大隐秘性的rootkit，并躲避所有安全检查，”研究人员说。“一种恶意软件，通过隐藏在最强大的处理资源之一（始终处于打开状态）中，能够执行从攻击者接收的任何命令，而不会被检测到。”

#尽管敌手身份不明，但阿姆帕达斯称rootkit很可能是高级持续威胁（APT）的工作，APT指的是一个民族国家或国家赞助的团体，雇佣持续的秘密，以及复杂的黑客技术，以获得对系统的未经授权访问，并在内部停留很长一段时间而不引起注意

如果说有什么不同的话，这项开发再次将固件安全问题置于高度关注的位置，这就需要及时应用制造商提供的固件更新来缓解潜在风险，将iLO网络与操作网络分开，并定期监测固件是否存在感染迹象

“另一个重要的问题是，有方法可以通过网络和主机操作系统访问和感染iLO，”研究人员指出。“这意味着，即使iLO网络电缆完全断开，仍有可能感染恶意软件。有趣的是，如果不需要，也无法完全关闭或禁用iLO。”