iLOBleed

Rootkit جدید ILoBleed سرورهای سازمانی HP هدف قرار می دهد

به این مطلب امتیاز دهید

اخیرا Rootkit ناشناخته ای با نام ilobleed پیدا شده است که تکنولوژِی فناوری مدیریت سرور یکپارچه Lights-Out که ساخته شرکت Hewlett-Packard Enterprise است را مورد هدف قرار میدهد.
این Rootkit که ماژول های سخت افزار را دستکاری می کند و اطلاعات را به طور کامل از سیستم های آلوده پاک می کند، به تازگی توجه همگان را به خود جلب کرده است.

این بدافزار اولین نمونه بدافزار عملیاتی است که در سیستم عامل iLO وجود دارد، این بدافزار توسط شرکت امن پرداز که یک شرکت امنیت سایبری ایرانی است کشف و مستند شد.

محققان امنیتی اشاره داشتند که :
“جنبه‌های متعددی از Firmware iLO وجود دارد که آن را به یک محیط ایده‌ آل برای بدافزارها و گروه‌ های APT تبدیل می‌ کند: امتیازات اجرایی بسیار بالا (بیشتر از هر سطح دسترسی در سیستم عامل)، دسترسی سطح پایین به سخت‌ افزار، دور از چشم بودن از چشم ادمین ها و ابزارهای امنیتی، کمبود دانش و ابزارهای عمومی برای بازرسی iLO و/یا محافظت از آن، تداوم بدافزار حتی پس از تغییر سیستم عامل و به ویژه همیشه در حال اجرا بودن آن قابلیت هایی هستند که این محیط را خاص و متمایز میکند”

علاوه بر مدیریت سرورها، به دلیل اینکه ماژول‌های iLO دسترسی گسترده‌ ای به تمامی Firmware، سخت‌ افزار، نرم‌ افزار و سیستم‌ عامل نصب شده روی سرورها دارا است، باعث می شود که به گزینه مناسبی برای نفوذ به سازمان‌ ها با استفاده از سرورهای HP تبدیل شود .
این در حالی است که این قابلیت ها بدافزار را قادر می‌ سازد تا پس از راه اندازی مجدد سیستم و حتی نصب مجدد سیستم عامل از سیستم پاک نشود.
با این حال، روش دقیق عملیات مورد استفاده برای نفوذ به زیرساخت شبکه و استقرار هنوز ناشناخته باقی مانده است.

Rootkit جدید ILoBleed

این Rootkit که ilobleed نام دارد از سال 2020, با هدف دستکاری تعدادی از ماژول های Firmware اصلی به منظور جلوگیری از به روز رسانی سیستم عامل در حملات استفاده شده است. به طور خاص، تغییرات ایجاد شده در سیستم عامل، فرآیند ارتقاء سیستم عامل را شبیه سازی می کند – ظاهراً این عملیات با نمایش نسخه سیستم عامل مناسب و اضافه کردن لاگ های مربوطه انجام میشود – این در حالی است که در واقعیت هیچ به روز رسانی انجام نمی شود.

محققان همینطور اذعان داشتند که : “هدف این بدافزار این است که یک Rootkit با توانایی مخفی ماندن بالا باشد و از همه Security Check ها پنهان بماند.”

این بدافزار با پنهان شدن در یکی از قدرتمندترین منابع پردازشی (که همیشه روشن است)، می‌ تواند هر دستوری را که از مهاجم دریافت می‌کند، بدون شناسایی شدن اجرا کند.»

iLOBleed

با اینکه سازنده این بدافزار ناشناس باقی مانده است اما شرکت امن پرداز ilobleed را احتمالاً ساخته دست یک گروه هکری دولتی میداند(APT)، گروه هکری ای که تحت حمایت دولت است و از تکنیک های پیچیده، و فراتر از زمان خود استفاده میکند تا با مخفی کاری و بدون جلب توجه به دسترسی غیر مجاز برسد. معمولا این نفوذ ها منجر به استقرار طولانی مدت در سیستم میشود .

وجود و ساخت همچین بد افزار هایی باعث میشود تا صنعت Firmware یک بار دیگر امنیت سیستم عامل را در کانون توجه خود قرار دهد، و در نتیجه این اقدام لازم است که به روز رسانی سیستم عامل توسط شرکت سازنده به سرعت اعمال شود تا خطرات احتمالی کاهش یابد.

محققان خاطرنشان کردند: «نکته مهم دیگر این است که روش‌هایی برای دسترسی و آلوده کردن iLO هم از طریق شبکه و هم از طریق سیستم عامل میزبان وجود دارد». این بدان معناست که حتی اگر کابل شبکه iLO به طور کامل قطع شده باشد، باز هم احتمال آلوده شدن به بدافزار وجود دارد. جالب اینجاست که هیچ راهی برای خاموش یا غیرفعال کردن کامل iLO در صورت عدم نیاز وجود ندارد.

اشتراک گذاری

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *