روت کیت جدید iLOBleed سرورهای سازمانی HP را با حملات پاک کردن داده‌ها مورد هدف قرار می‌دهد

روت کیت جدید iLOBleed سرورهای سازمانی HP را با حملات پاک کردن داده‌ها مورد هدف قرار می‌دهد

روت کیت ilo

به تازگی روت کیت ناشناخته‌ای پیدا شده است که روی فناوری مدیریت سرور یکپارچه Lights-Out ( iLO ) شرکت Hewlett-Packard Enterprise قرار دارد تا حملاتی را انجام دهد که ماژول‌های سیستم عامل را دستکاری کرده و داده‌ها را به طور کامل از سیستم‌های آلوده پاک می‌کند.

این کشف که اولین نمونه بدافزار دنیای واقعی در سیستم عامل iLO است، توسط شرکت امنیت سایبری ایران امنیت پرداز در این هفته ثبت شد.

جنبه‌های متعددی از iLO وجود دارد که آن را تبدیل به یک سیستم عامل ایده آل برای بدافزارها و گروه‌های APT تبدیل می‌کند.

امتیازات بسیار بالا (بیشتر از هر سطح دسترسی در سیستم عامل)، دسترسی سطح پایین به سخت افزار، دور از چشم بودن، ادمین‌ها و ابزارهای امنیتی، کمبود دانش و ابزارهای عمومی برای بازرسی iLO محافظت از آن و… از مهم ترین ویژگی‌ها و جنبه‌های iLO است.

علاوه بر مدیریت سرورها، این واقعیت که ماژول‌های iLO دسترسی گسترده‌ای به تمام سیستم عامل، سخت افزار و نرم افزار نصب شده روی سرورها دارند، آن‌ها را به کاندیدای ایده آلی برای نفوذ به سازمان‌ها با استفاده از سرورهای HP تبدیل می‌کند، در حالی که بدافزار را قادر می‌سازد تا پس از راه اندازی مجدد و نصب مجدد سیستم عامل همچنان پایدار باقی بماند. با این حال، روش دقیق عملیات مورد استفاده برای نفوذ به زیرساخت شبکه و استقرار پاک کن هنوز ناشناخته باقی مانده است.

rootkit

این روت کیت که iLOBleed نام دارد ، از سال 2020 در حملات مختلف با هدف دستکاری تعدادی از ماژول‌های فریمور اصلی به منظور جلوگیری از به روز رسانی مخفیانه سیستم عامل مورد استفاده قرار گرفته است. به طور خاص، تغییرات ایجاد شده در روال سیستم عامل، فرآیند ارتقاء سیستم عامل را شبیه سازی می‌کند. ظاهراً با نمایش نسخه سیستم عامل مناسب و اضافه کردن گزارش‌های مربوطه، در حالی که در واقعیت هیچ به روز رسانی انجام نمی‌شود.

محققان می‌گویند این به تنهایی نشان می‌دهد که هدف این بدافزار این است که یک روت کیت با حداکثر مخفی کاری باشد و از همه بازرسی‌های امنیتی پنهان شود. بدافزاری که با پنهان شدن در یکی از قدرتمندترین منابع پردازشی (که همیشه روشن است)، می‌تواند هر دستوری را که از مهاجم دریافت می‌کند، بدون شناسایی اجرا کند.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *