Hackernews 编译,转载请注明出处:
我们发现一个以前未知的rootkit,它瞄准了惠普企业的Integrated Lights Out(iLO)服务器管理技术,并进行攻击,篡改固件模块并彻底清除受感染系统中的数据。
伊朗 *** 安全公司Amnpardaz本周记录了这一发现,这是iLO固件中之一个真实恶意软件的实例。
“iLO有许多特点使其成为恶意软件和APT组织的理想乌托邦:极高的权限(高于操作系统中的任何访问级别);对硬件的访问级别非常低;管理员和安全工具难以检测检测;大众普遍缺乏检查和/或保护iLO的知识和工具,即使在更改操作系统后,恶意软件仍能持久存在,更强的是,它能始终运行且不关闭,”研究人员说。
除了管理服务器外,iLO模块还可以广泛访问服务器上安装的所有固件、硬件、软件和操作系统(OS),这一事实使它们成为破坏 HP服务器的组织的理想选择,同时也使恶意软件能够在重新启动后保持持久性并在重新安装操作系统后存活。然而,用于渗透 *** 基础设施和部署数据清洁器的确切操作方式仍然未知。
名为iLOBleed的rootkit自2020年开始用于攻击,其目标是操纵大量原始固件模块,以秘密阻止固件更新。具体地说,对固件例程所做的修改仿造了固件升级过程——据称显示了正确的固件版本并添加了相关日志——而实际上没有执行更新。
研究人员说:“仅此一点就表明,这种恶意软件的目的是成为一个具有更大隐秘性的rootkit,并躲避所有安全检查。”“通过隐藏在最强大的处理资源之一(始终处于运行状态)中,能够执行攻击者发送的任何命令,而不会被检测到。”
尽管敌手身份不明,但Amnpardaz将该rootkit描述为可能是高级持续威胁(APT)的手笔,APT是一个民族国家或国家赞助的团体,使用连续、秘密,以及复杂的黑客技术,以获得对系统的未经授权的访问,并在设备内部长时间停留而不引起注意。
如果有什么不同的话,黑客技术的进步再次将固件安全性纳入了关注的焦点,这就需要及时应用制造商提供的固件更新以降低潜在风险,将iLO *** 与操作 *** 分开,并定期监控固件是否存在感染迹象。
研究人员指出:“另一个重要的问题是,有一些 *** 可以通过 *** 和主机操作系统访问和感染iLO。”“这意味着,即使iLO *** 电缆完全断开,仍有可能感染恶意软件。有趣的是,就算不使用iLO,也无法完全关闭或禁用iLO。”
消息来源:TheHackerNews,译者:Zoeppo;
本文由 HackerNews.cc 翻译整理,封面来源于 *** ;
转载请注明“转自 HackerNews.cc ” 并附上原文
在俄乌冲突爆发后的一个月时间里,许多组织机构纷纷颁布了针对俄罗斯的制裁。但是对于开源社区来说,将制裁的范围无限扩大,显然并不是声援乌克兰的最佳途径。开放源码倡议(Open Source Initiative)组织指出:尽管大多数软件开发者只是在运行时显示反战或亲乌克兰的信息,但还是有个别项目的维护者...
欧洲议会周四投票决定成立一个新的 “调查委员会”,调查针对欧洲成员国获取和使用Pegasus(飞马)手机间谍软件的指控。议员们基本上投票赞成设立该委员会,该委员会将调查欧盟27个成员国使用Pegasus和其他监控间谍软件的情况。 调查委员会允许立法者调查可能违反欧洲法律的行为。欧洲议会在一份声明中说...
微软最近对Windows Defender的排除权限进行了更新,没有管理员权限就无法查看排除的文件夹和文件。这是一个重要的变化,因为威胁者往往会利用这一信息在这种被排除的目录中提供恶意软件的载荷,以绕过防御者的扫描。 然而,这可能无法阻止ZeroFox最近发现的一个名为Kraken的新僵尸网络。这...
在被黑客组织 Lapsus$ 入侵三个月后,身份验证平台 Okta 终于在周二的一篇博客文章中,分享了正式版的内部调查报告。公司首席安全官 David Bradbury 指出:在攻击发生后不久,他们就已经就获知了相关细节。不过随着分析的深入,他们进一步收缩了早期评估的潜在影响范围。 Bradbur...
据称,一个黑客组织泄露了微软37GB的源代码,这些代码与包括Bing和Cortana在内的数百个项目有关,这是一系列重大网络安全事件中的最新一起。Lapsus$黑客组织在周一晚上公开发布了一个9GB的压缩文件。据称,该7zip档案包含了从微软获得的250多个内部项目。 据称这些数据来自微软的Az...
现在已经打了补丁的Pegasus iPhone攻击是近年来看到的最复杂的攻击之一。在研究了多次成为头条新闻的iMessage安全漏洞后,来自Project Zero的Google研究人员将其描述为“技术上最复杂的漏洞之一”。 他们称,NSO集团的工具在复杂程度上跟民族国家间谍工具不相上下。而NSO...