新型恶意软件 iLOBleed Rootkit，首次针对惠普 iLO 固件

据 securityaffairs 12月30日消息，某个首次发现的 rootkit 病毒（也称为 iLOBleed）正针对惠普企业服务器展开攻击，能够从远程感染设施并擦除数据。

集成灯控(iLO)是惠普旗下的嵌入式服务器管理技术，该模块可以完全访问服务器上安装的所有固件、硬件、软件和操作系统。

此次攻击由伊朗网络安全公司 Amnpardaz 发现，iLOBleed 是有史以来首次针对 iLO 固件的恶意软件。

专家解释说，针对 iLO 的恶意软件非常阴险，因为它以高权限运行（高于操作系统中的任何访问级别），可以做到不被管理员和检测软件察觉。通过篡改此模块，允许恶意软件在重新安装操作系统后继续存在。

自2020年被首次发现以来，该rootkit被运用于攻击中，不法分子可以使用iLOBleed rootkit来破坏使用惠普服务器的组织。

“我们分析了一个在野外发现的 rootkit，它隐藏在 iLO 内部，无法通过固件升级移除，并且可以长时间隐藏。该恶意软件已被黑客使用一段时间，我们一直在监控其性能。据我们所知，这是全球首次在 iLO 固件中发现真实存在的恶意软件报告。” 专家发表的报告显示。

据研究人员称，与其他擦除器不同，该恶意软件的擦除器就是设计用来进行长时间的隐身操作。iLOBleed 最突出的功能之一是操纵 iLO 固件升级例程，当系统管理员尝试升级 iLO 固件时，恶意软件会在阻止升级例程的同时模拟版本更改。

这些攻击的复杂程度已经构成APT级别。

研究人员说：“仅此一项就表明，该恶意软件的目的是成为具有最大隐蔽性并躲避所有安全检查的 rootkit。” “一种恶意软件，通过隐藏在强大且始终开启的处理资源中，能够执行从攻击者那里收到的任何命令，而不会被发现。” 报告显示，“当然，从其执行此类攻击投入的成本不难看出，此类攻击已经构成了高持续性威胁(APT)。”

专家总结道，攻击者可以通过网络和主机操作系统感染 iLO。

“这意味着即使 iLO 网线完全断开，仍然存在感染恶意软件的可能。有趣的是，在不需要iLO的情况下，却没有办法完全关闭或禁用它。”报告最后说。

参考来源：

https://securityaffairs.co/wordpress/126157/malware/ilobleed-wiper-hp-servers.html