勒索軟體攻擊 HPE iLO 遠程管理界面
攻擊者現在盯上了可從互聯網來訪問的HPE iLO 4遠程管理界面,據稱加密硬碟,然後索要比特幣,那樣受害者才能拿回數據。雖然還無法百分之百確認硬碟是不是真的被加密,但我們確實知道自昨天以來,多名受害者已受到了這次攻擊的影響。
HPE iLO 4(又叫HPE Integrated Lights-Out),它是內置於某些惠普伺服器的管理解決方案,可讓管理員遠程管理設備。管理員可以使用Web瀏覽器或移動應用程序連接到iLO,管理員會看到一個登錄頁面,如下所示。
正常的HPE iLO 4登錄頁面
一旦登錄進去,管理員可以訪問日誌、重啟伺服器、查看伺服器信息及處理更多操作。不過一項更強大的功能是,能夠訪問伺服器的遠程控制台,因而全面訪問當前可訪問的操作系統外殼(shell)。由於這個原因,你絕不應該將iLO設備直接連接到互聯網,而是要求完全通過安全的VPN來訪問。
HPE iLO 4勒索軟體
今天,安全研究人員M. Shahpasandi發布了HPE iLO 4登錄屏幕的截圖,登錄屏幕上有一則「安全通告」,聲明計算機的硬碟已加密,擁有者必須支付贖金才能拿回數據。
iLO 4勒索軟體(圖片來源:Twitter)
此安全通告是通過iLO 4 Login Security Banner(登錄安全Banner)配置設置添加的。該設置位於管理- >安全- >登錄安全Banner,如下所示。
登錄安全Banner部分
攻擊者添加的這個修改後的登錄安全Banner聲明如下:
目前還不知道這則通告是不是只是一種恐嚇手段,好讓受害者乖乖付款。不過從所使用的公共電子郵件地址來看,我們確實知道已有9名受害者聯繫過攻擊者。這些電子郵件表明,受害者再也訪問不了其數據,所以它們似乎已採用某種方式經過了加密。
據M. Shahpasan聲稱,攻擊者要求將2個比特幣發送到地址19ujGd4zqwoHitT2D1hF3BVf73vYVCvxcm,才能獲得解密密鑰。到目前為止,還沒有誰將比特幣打到這個地址。
索要2個比特幣
發送到19ujGd4zqwoHitT2D1hF3BVf73vYVCvxcm
-M. Shahpasandi(@M_Shahpasandi)2018年4月25日
勒索函中值得關注的一個方面是,攻擊者聲稱,除非受害者來自俄羅斯,否則贖金價格沒得商量。這對於俄羅斯的攻擊者來說很常見,他們在許多情況下試圖避免感染俄羅斯受害者。
最後,這有沒有可能只是誘餌/擦除軟體,而不是真正的勒索軟體攻擊?勒索軟體攻擊通常為受害者提供一個獨特的ID,以區別一名受害者和另一名受害者。這防止受害者「竊取」另一名受害者支付的贖金,用來解鎖其計算機。
在諸如此類的情況下:沒有提供獨特的ID,電子郵件公開可以訪問,這很可能表明其主要目的是擦除伺服器的內容,或充當另一次攻擊的誘餌。
HPE iLO 4絕不應該直接連接到互聯網
將iLO 4之類的遠程管理工具暴露在互聯網面前從來不是件好事。只應該通過安全的VPN來訪問這類工具,防止它們被互聯網上的任何人掃描和訪問。
如果舊版本中的已知漏洞讓攻擊者得以繞過身份驗證、執行命令,並添加新的管理員帳戶,那麼將iLO暴露在公眾面前帶來的危險就更大了。鑽這些漏洞空子的腳本也唾手可得。
找到連接的iLO界面同樣輕而易舉。在搜索引擎Shodan上快速搜索一下,就會發現5000多台iLO 4設備連接到互聯網,其中許多設備使用已知易受攻擊的版本。
如果你目前在惠普伺服器中使用iLO 4,並運行舊版本,務必確保升級到最新固件。然後檢查管理員帳戶,查明有沒有帳戶是在你不知情的情況下創建的。最後但並非最不重要的一點是,確保你的iLO IP地址無法通過互聯網來訪問,只能通過VPN來訪問。不然,你完全是自找麻煩。
※五招讓你的Ubuntu 16.04更安全
※2018數據分析越來越不可或缺
TAG:Linux資訊速推 |