상세 컨텐츠

본문 제목

iLO 펌웨어를 노린 최초의 악성코드인 새로운 iLOBleed 루트킷 발견

국내외 보안동향

by 알약4 2021. 12. 31. 14:00

본문

New iLOBleed Rootkit, the first time ever that malware targets iLO firmware

 

HP Enterprise iLO(Integrated Lights-Out) 서버 관리 기술을 노린 새로운 루트킷인 iLOBleed가 발견되었습니다. 이는 펌웨어 모듈을 변조시키고 감염된 시스템에서 데이터를 삭제합니다.

 

Integrated Lights-Out은 대역 외 관리 기능을 제공하는 Hewlett-Packard Enterprise의 독점 임베디드 서버 관리 기술입니다. 이 모듈은 서버에 설치된 모든 펌웨어, 하드웨어, 소프트웨어, 운영 체제에 대한 전체 액세스 권한을 갖습니다.

 

이 공격은 이란의 사이버 보안 회사인 Amnpardaz에서 발견했습니다. 악성 코드가 iLO 펌웨어를 노린 것은 이번이 처음입니다.

 

전문가들은 iLO를 노리는 악성코드가 높은 권한(운영 체제의 모든 액세스 수준 이상)으로 실행되고, 하드웨어에 대한 매우 낮은 접근 권한 수준으로 실행되며 iLO를 검사하지 않는 관리자와 보안 소프트웨어가 탐지할 수 없기 때문에 매우 은밀히 활동할 수 있다고 설명했습니다. 이 모듈을 변조하여 지속성을 획득할 경우 운영 체제를 다시 설치할 때까지 악성코드가 살아남을 수 있습니다.

 

 

<이미지 출처: https://threats.amnpardaz.com/en/2021/12/28/implant-arm-ilobleed-a/>

 

 

이 루트킷은 2020년부터 공격에 사용되었으며, 공격자는 iLOBleed 루트킷을 통해 HP 서버를 사용하는 조직을 해킹할 수 있었습니다.

 

연구원들은 보고서를 발행해 아래와 같이 설명했습니다.

 

iLO의 내부에 숨어 있고, 펌웨어 업그레이드로 제거할 수 없으며, 오랫동안 보이지 않는 곳에 숨어 있었던 실제 공격에서 사용된 루트킷을 분석했습니다. 해커는 일정 기간 동안 이 악성코드를 사용했으며, 우리는 이 악성코드의 성능을 모니터링하고 있습니다. 우리가 아는 한, 이는 iLO 펌웨어에서 실제 악성코드가 발견된 세계 최초의 사례입니다.”

 

연구원들에 따르면 이 악성코드는 다른 와이퍼와는 달리 장기간 스텔스 작업을 수행하도록 설계되었습니다. iLOBleed의 가장 뛰어난 기능 중 하나는 iLO 펌웨어 업그레이드 루틴을 조작하는 것입니다. 시스템 관리자가 iLO 펌웨어를 업그레이드하려고 시도할 경우 악성코드는 업그레이드 루틴이 실행되는 것을 방지하고 버전 변경을 시뮬레이팅합니다.

 

공격이 이렇듯 정교한 것으로 보아 APT 그룹이 개입된 것으로 추측해볼 수 있습니다.

 

"이것만으로도 이 악성코드의 목적이 최고 수준의 은폐 기능을 갖춘 루트킷으로 모든 보안 검사를 회피하는 것임을 알 수 있습니다.”

 

"이 악성코드는 항상 켜져 있는 가장 강력한 처리 리소스에 숨어 공격자로부터 받은 모든 명령을 탐지되지 않은 채 실행할 수 있습니다.”

 

"당연히도 이러한 공격을 수행하는 비용은 APT 카테고리에 포함됩니다."

 

전문가들은 공격자가 네트워크와 호스트 운영 체제를 통해서 iLO를 감염시킬 수 있다고 결론지었습니다.

 

iLO 네트워크 케이블이 완전히 분리된 경우라도 악성코드에 감염될 가능성이 있다는 이야기입니다. 하지만 iLO가 필요하지 않은 경우라도 iLO를 완전히 끄거나 비활성화할 수 있는 방법이 없습니다."

 

 

 

 

출처:

https://securityaffairs.co/wordpress/126157/malware/ilobleed-wiper-hp-servers.html

https://threats.amnpardaz.com/en/2021/12/28/implant-arm-ilobleed-a/

관련글 더보기

댓글 영역