iLOBleed 루트킷, HP 엔터프라이즈 서버 대상 데이터 삭제 공격(22.01.03)

iLOBleed 루트킷, HP 엔터프라이즈 서버 대상 데이터 삭제 공격(22.01.03)

 

 

 

 

1.개요

 

이전에 알려지지 않았던 루트킷이 펌웨어 모듈을 조작하고 감염된 시스템에서 데이터를 완전히 삭제하는 공격을 수행하기 위해 Hewlett-Packard Enterprise의 iLO(Integrated Lights-Out) 서버 관리 기술을 목표로 삼은 것으로 밝혀졌습니다.

iLO에는 매우 높은 권한(운영 체제의 모든 접근 수준 이상), 하드웨어에 대한 매우 낮은 수준의 접근, 관리자의 눈에 띄지 않는 것, 보안 도구, iLO 검사 및 보호를 위한 일반적인 지식 및 도구의 부족, 운영 체제를 변경한 후에도 멀웨어가 유지되도록 하는 지속성, 특히 항상 실행되고 절대 종료되지 않는 것과 같은 악성코드 및 APT 그룹에 이상적인 유토피아로 만드는 다양한 측면이 있습니다

서버 관리 외에도 iLO 모듈이 서버에 설치된 모든 펌웨어, 하드웨어, 소프트웨어 및 운영 체제(OS)에 광범위하게 액세스할 수 있다는 사실은 그들을 HP 서버를 사용하는 조직을 침해할 수 있는 이상적인 후보자로 만드는 동시에, 재부팅 후에도 맬웨어가 지속성을 유지하고 OS 재설치에서 살아남을 수 있게 합니다.

그러나, 네트워크 인프라에 침투하여 와이퍼를 전개하는 데 사용된 정확한 방법은 아직 알려지지 않았습니다.

 

악성코드 주요 함수

 

iLOBleed라고 불리는 루트킷은 펌웨어 업데이트를 몰래 방해하기 위해 다수의 원본 펌웨어 모듈을 조작하는 것을 목표로 2020년부터 공격에 사용되어 왔습니다.

특히 펌웨어 루틴에 대한 수정은 실제로 업데이트가 수행되지 않을 때 올바른 펌웨어 버전을 표시하고 관련 로그를 추가하여 펌웨어 업그레이드 프로세스를 시뮬레이션합니다.

이 악성코드의 목적이 최대한의 스텔스 기능을 갖춘 루트킷이 되어 모든 보안 검사에서 숨기는 것임을 알 수 있으며, 가장 강력한 처리 리소스 중 하나에 숨어 탐지되지 않고 공격자로부터 받은 모든 명령을 실행할 수 있는 악성코드입니다.

 

감염된 버전과 정상 버전의 펌웨어 모듈 시그니처 비교

 

공격자의 신원은 아직 확인되지 않았지만 루트킷을 국가 또는 국가가 후원하는 APT 그룹의 작업일 가능성이 있으며, 지속적이고 은밀하며 정교한 해킹 기술을 채택하여 시스템에 대한 무단 접근 권한을 얻고서 눈에 띄지 않고 장기간 내부에 머물러 있을 가능성이 높습니다

펌웨어 보안에 다시 한번 초점을 맞추어 잠재적인 위험을 완화하기 위해 제조사가 제공한 펌웨어 업데이트를 즉시 적용해야 하며, iLO 네트워크는 운영 네트워크로부터 분리하고, 펌웨어에 감염 징후가 있는지 주기적으로 모니터링해야 합니다

iLO 네트워크 케이블이 완전히 분리되어도 악성코드에 감염될 가능성이 있으며, iLO가 필요하지 않은 경우 iLO를 완전히 끄거나 비활성화할 수 있는 방법이 없습니다

 

 

 

2.공격 침해지표(IoC) 및 대응

 

펌웨어 업데이트시 검증된 신뢰할 수 있는 출처에서 받아 사용해야 하며 해당 공격과 관련하여 점검이 필요합니다.

 

 

 

 

 

 

3.출처

 

https://thehackernews.com/2021/12/new-ilobleed-rootkit-targeting-hp.html%EF%BB%BF