سرورهای HP دارای یک ماژول مدیریتی به نام iLO مخفف Integrated Lights-Out هستند که به محض اتصال کابل برق روشن شده و یک سیستم عامل کامل اختصاصی را بارگذاری میکند. این ماژول با خاموش کردن سرور باز هم به کار خود ادامه میدهد و دارای دسترسی کاملی به کل سفتافزار، سختافزار، نرمافزار و سیستمعامل سرور است و علاوه بر مدیریت سختافزار سرور، به ادمین اجازه میدهد از راه دور سرور را روشن و خاموش نموده، به کنسول آن دسترسی داشته و حتی سیستم عامل روی آن نصب نماید.
دسترسی فوقالعاده بالای این ماژول (بالاتر از هر سطح دسترسی در سیستم عامل)، احاطه کامل آن به سختافزار، دور بودن از چشم ادمین و عمومی نبودن دانش و ابزارهای لازم برای بررسی و محافظت از آن، و ثابت بودن و عدم تغییر آن حتی با تغییر سیستم عامل، و به خصوص همواره روشن بودن دائمی خصوصیاتی هستند که این ماژول را به مثابه بهشتی برای نفوذگران و گروههای APT جهت پنهان نمودن بدافزار میگرداند.
ما در این گزارش به تحلیل یک نهانافزار کشف شده در محیط عملیاتی میپردازیم که خود را درون iLO پنهان میکند، با آپگرید سفتافزار قابل حذف نیست، و میتواند مدتها از چشمها پنهان بماند. این بدافزار مدتی است در حال استفاده توسط نفوذگران میباشد و ما در حال بررسی عملکرد آنها بودهایم. تا جایی که ما اطلاع داریم، این اولین گزارش از کشف بدافزاری واقعی در این سفتافزار در دنیا میباشد.
از آنجایی که پرداختن به تحلیل این بدافزار، نیازمند دانشی از معماری سفتافزار HP iLO میباشد، در این سند ابتدا اندکی درباره معماری HP و نقاط آسیبپذیر آن پرداخته شده است. سپس در بخش بعدی به تحلیل بدافزار کشف شده و ماژولهای مختلف آن میپردازیم. در نهایت و در بخش آخر، به راهکارهای بررسی آلودگی و محافظت در برابر آن خواهیم پرداخت.
در کنار این گزارش، ابزارهایی جهت دامپ گیری و بررسی آلودگی سرورها توسعه داده شده است که در آینده نزدیک در اختیار عموم متخصصین قرار میگیرد. امیدواریم این گزارش نقطه شروعی برای توجه عمومی بیشتر به سفتافزارها و ایجاد راهکارهای محافظت از آنها باشد.
جهت مطالعه ادامه گزارش نخستین روتکیت کشف شده در سفت افزار iLO سرورهای HP میتوانید به سایت فارسی تهدیدات بدافزاری امن پرداز و یا سایت انگلیسی تهدیدات مراجعه و یا برای دریافت فایل آن بر روی تصویر زیر کلیک کنید:
📥 دانلود فایل فارسی گزارش با فرمت PDF📥 دانلود فایل انگلیسی گزارش با فرمت PDF |
