포스팅 내용

국내외 보안동향

랜섬웨어, HPE iLO 원격 관리 인터페이스 공격해

최근 공격자들이 인터넷으로 접근이 가능한 HPE iLO4 원격 관리 인터페이스를 노리고 있습니다. 공격자들은 하드 드라이브를 암호화 시킨 후, 데이터 복구에 비트코인을 요구합니다. 


하드웨어가 실제로 암호화 되는지 100% 확신할 수는 없지만, 4월 24일부터 이미  다수의 피해자들이 이 공격에 영향을 받은 것으로 확인 되었습니다.


HPE iLO란?


HPE iLO 4 (HPE intergrated Lights-Out)은 관리자들이 원격으로 기기를 관리할 수 있도록 특정 HP 서버들에 내장 된 관리 프로세서입니다. 


iLO는 시스템 관리자가 서버에 연결할 필요 없이 원격으로 서버를 관리하는 데 필요한 전원 관리, 원격 시스템 콘솔, 원격 CD/DVD 이미지 마운팅, 기타 다수 등의 기능을 제공하기 때문에 관리자들은 웹 브라우저나 모바일 앱을 통해 아래의 로그인 페이지에서 iLO에 연결할 수 있습니다.


<정상적인 HPE iLO 4 로그인 페이지>

<이미지 출처: https://www.bleepingcomputer.com/news/security/ransomware-hits-hpe-ilo-remote-management-interfaces/>


IPMI 프로토콜을 사용하여 해당 기능에 액세스 할 수 있지만 SSH, HTTPS, SNMP, XML/JSON API와 같은 다양한 인터페이스를 통해 액세스 할 수도 있습니다. 이러한 모든 인터페이스는 주요 임베디드 컴포넌트에 대한 넓은 범위의 공격 인프라를 제공해줍니다.

기술적인 면에서 iLO 4는 서버에 내장된 전용 ARM 마이크로 프로세서에서 실행되며 주 프로세서와 완전히 독립적입니다. 또한 여기에는 펌웨어, 전용 RAM 칩, 전용 네트워크 인터페이스를 보관하는 전용 플래시 칩이 포함되어 있습니다. 


소프트웨어 측면에서 운영 체제는 독점적인 RTOS GreenHills Integrity 입니다. 이는 iLO는 서버가 꺼져있을 때에도 실행되게 허용하며, 주 PCI 익스프레스 버스에 직접 연결되어 있어도 실행됩니다.

 

iLO는 서버 하드웨어 내 모든 기능과 중요한 위치 때문에 공격 대상이 되기 쉽습니다.



HPE iLO 4 랜섬웨어


오늘, 한 보안 연구원은 컴퓨터의 하드 드라이브가 암호화 되었으며, 데이터를 다시 돌려받기 위해서는 랜섬머니를 지불해야 한다는 “보안 공지”가 포함 된 HPE iLO 4 로그인 화면의 스크린샷을 포스팅 했습니다.

 

<HPE iLO 4 랜섬웨어>

<이미지 출처: https://twitter.com/M_Shahpasandi/status/989157283799162880>


이 보안 공지는 iLO 4 로그인 보안 배너 구성 설정을 통해 추가 되었습니다. 이 설정은 관리 > 보안 > 로그인 보안 배너에서 찾아볼 수 있습니다.



<로그인 보안 배너 섹션>

<이미지 출처: https://www.bleepingcomputer.com/news/security/ransomware-hits-hpe-ilo-remote-management-interfaces/>


변조 된 로그인 보안 배너는 아래의 메시지를 포함하고 있습니다:


Security Notice


Hey. Your hard disk is encrypted using RSA 2048 asymmetric encryption. To decrypt files you need to obtain the private key.

It means We are the only ones in the world to recover files back to you. Not even god can help you. Its all math and cryptography .

If you want your files back, Please send an email to 15fd9ngtetwjtdc@yopmail.com.

We don't know who are you, All what we need is some money and we are doing it for good cause.

Don't panic if we don't answer you during 24 hours. It means that we didn't received your letter and write us again.

You can use of that bitcoin exchangers for transfering bitcoin.

https://localbitcoins.com

https://www.kraken.com

Please use english language in your letters. If you don't speak english then use https://translate.google.com to translate your letter on english language.


Process:

1) Pay some BTC to our wallet address.(negotations almost impossible unless you are a russian citizen)

2) We will send you private key and instructions to decrypt your hard drive

3) Boom! You got your files back.



이 공격의 피해자와의 대화 및 전달 받은 로그를 확인 결과, 이 공격은 아래와 같이 실행 되는 것으로 추정됩니다.


- 공격자들이 iLO에 접근합니다.

- 랜섬노트를 표시하기 위해 로그인 보안 배너를 활성화합니다.

- 가상 미디어 매니저를 통해 원격 ISO를 마운트합니다.

- 서버를 재부팅합니다.

- 마운트 된 가상 CD의 프로그램이 하드드라이브의 내용을 암호화 또는 제거합니다.

- 서버를 다시 재부팅합니다.

- 재부팅 중, 서버는 OS에 다시 접속할 수 없게 되며 대신 “부트 디바이스가 존재하지 않습니다”는 메시지가 뜹니다.


피해자에 따르면, 공격자들은 하드 드라이브에 재접근을 위해 2 비트코인을 요구했습니다. 또한 공격자는 피해자에게 돈을 지불할 수 있는 비트코인 주소를 제공합니다. 


알려진 피해자들이 모두 다른 비트코인 주소를 받은 것으로 보았을 때 피해자마다 고유한 비트코인 주소가 주어지는 것으로 보입니다.

또 다른 흥미로운 점은, 공격자들이 랜섬노트에 러시아인이 아닌 이상 랜섬머니를 깎아줄 수 없다고 적어 두었다는 것입니다. 


이는 러시아 출신 공격자들에게 흔한 일로, 이들은 많은 경우 러시아의 피해자들을 감염시키는 것을 피하려 했습니다.


그렇다면 이 공격에 사용된 악성코드는 랜섬웨어 일까요? 아니면 미끼/삭제 악성코드 일까요?


랜섬웨어는 일반적으로 피해자들을 식별해내기 위해 피해자에게 고유한 ID를 부여합니다. 이로써 다른 피해자의 지불을 훔쳐 그들의 컴퓨터를 언락하는데 사용하는 것을 방지합니다.


하지만 암호화 된 컴퓨터를 식별하기 위한 고유 ID가 주어지지 않으며, 해당 이메일은 공개적으로 접근이 가능해 이 공격의 주요 목표는 서버의 데이터를 모두 삭제하거나 다른 공격을 위한 미끼로 사용하는 것으로 추측됩니다.


HPE iLO 4는 절대 인터넷에 직접적으로 연결 되어서는 안됩니다


iLO 4와 같은 원격 관리 툴을 인터넷에 노출 시켜서는 안되며,반드시 안전한 VPN을 통해서만 접근할 수 있어야 합니다.


구 버전들의 알려진 취약점이 포함 된 iLO를 인터넷에 노출시킬 경우, 공격자는 인증을 우회해 명령을 실행하고 새로운 관리자 계정을 추가할 수도 있습니다. 이 취약점을 악용할 수 있는 스크립트들도 손쉽게 구할 수 있습니다.


연결 된 iLO 인터페이스를 찾는 일도 매우 쉽습니다. 


Shodan에서 검색해본 결과, 약 5천개의 iLO 4 기기들이 인터넷에 연결 되어 있으며 이들 중 많은 수가 취약한 버전을 사용하고 있었습니다.



조치방법


- 만약 HP서버에서 iLO 4 사용 시, 버전 확인 후 최신 버전의 펌웨어로 업그레이드

- 업그레이드 후, 관리자 모르게 새로 생성된 관리자 계정 유무 확인

- iLO IP 주소에 외부 인터넷을 통한 직접적인 접속을 차단하고 VPN만을 통해서만 접속될 수 있도록 설정





출처 :

https://www.bleepingcomputer.com/news/security/ransomware-hits-hpe-ilo-remote-management-interfaces/

https://www.synacktiv.com/posts/exploit/rce-vulnerability-in-hp-ilo.html

티스토리 방명록 작성
name password homepage