预警：勒索软件攻击 HPE iLO 远程管理界面

时间：2018-04-29

攻击者现在盯上了可从互联网来访问的HPE iLO 4远程管理界面，据称加密硬盘，然后索要比特币，那样受害者才能拿回数据。虽然还无法百分之百确认硬盘是不是真的被加密，但我们确实知道自昨天以来，多名受害者已受到了这次攻击的影响。

HPE iLO 4（又叫HPE Integrated Lights-Out），它是内置于某些惠普服务器的管理解决方案，可让管理员远程管理设备。管理员可以使用Web浏览器或移动应用程序连接到iLO，管理员会看到一个登录页面，如下所示。

一旦登录进去，管理员可以访问日志、重启服务器、查看服务器信息及处理更多操作。不过一项更强大的功能是，能够访问服务器的远程控制台，因而全面访问当前可访问的操作系统外壳（shell）。由于这个原因，你绝不应该将iLO设备直接连接到互联网，而是要求完全通过安全的VPN来访问。

HPE iLO 4勒索软件

今天，安全研究人员M. Shahpasandi发布了HPE iLO 4登录屏幕的截图，登录屏幕上有一则“安全通告”，声明计算机的硬盘已加密，拥有者必须支付赎金才能拿回数据。

此安全通告是通过iLO 4 Login Security Banner（登录安全Banner）配置设置添加的。该设置位于管理- >安全- >登录安全Banner，如下所示。

攻击者添加的这个修改后的登录安全Banner声明如下：

安全通告

嘿。你的硬盘已使用RSA 2048非对称加密进行了加密。你需要获得私钥才能解密文件。

这意味着世界上只有我们才能为你恢复文件。连上帝都帮不了你。完全涉及数学和密码。

如果你想要拿回文件，请发送电子邮件至15fd9ngtetwjtdc@yopmail.com。

我们不知道你是谁，我们只需要一点钱，我们为了正义做这件事。

如果我们在24小时内没有回复你，用不着恐慌。这意味着我们没有收到你的来信，并再次写信给我们。

你可以使用下列比特币交易所来转账比特币。

https://localbitcoins.com

https://www.kraken.com

记得信件请用英文。如果你不会说英语，请使用https://translate.google.com，将信件翻译成英文。

操作过程：

1）向我们的钱包地址付一些比特币（除非你是俄罗斯公民，否则几乎没得商量）

2）我们会向你发来私钥和操作说明，以解密你的硬盘

3）好了！你拿回了你的文件。

目前还不知道这则通告是不是只是一种恐吓手段，好让受害者乖乖付款。不过从所使用的公共电子邮件地址来看，我们确实知道已有9名受害者联系过攻击者。这些电子邮件表明，受害者再也访问不了其数据，所以它们似乎已采用某种方式经过了加密。

据M. Shahpasan声称，攻击者要求将2个比特币发送到地址19ujGd4zqwoHitT2D1hF3BVf73vYVCvxcm，才能获得解密密钥。到目前为止，还没有谁将比特币打到这个地址。

索要2个比特币

发送到19ujGd4zqwoHitT2D1hF3BVf73vYVCvxcm

－M. Shahpasandi（@M_Shahpasandi）2018年4月25日

勒索函中值得关注的一个方面是，攻击者声称，除非受害者来自俄罗斯，否则赎金价格没得商量。这对于俄罗斯的攻击者来说很常见，他们在许多情况下试图避免感染俄罗斯受害者。

最后，这有没有可能只是诱饵/擦除软件，而不是真正的勒索软件攻击？勒索软件攻击通常为受害者提供一个独特的ID，以区别一名受害者和另一名受害者。这防止受害者“窃取”另一名受害者支付的赎金，用来解锁其计算机。

在诸如此类的情况下：没有提供独特的ID，电子邮件公开可以访问，这很可能表明其主要目的是擦除服务器的内容，或充当另一次攻击的诱饵。

HPE iLO 4绝不应该直接连接到互联网

将iLO 4之类的远程管理工具暴露在互联网面前从来不是件好事。只应该通过安全的VPN来访问这类工具，防止它们被互联网上的任何人扫描和访问。

如果旧版本中的已知漏洞让攻击者得以绕过身份验证、执行命令，并添加新的管理员帐户，那么将iLO暴露在公众面前带来的危险就更大了。钻这些漏洞空子的脚本也唾手可得。

找到连接的iLO界面同样轻而易举。在搜索引擎Shodan上快速搜索一下，就会发现5000多台iLO 4设备连接到互联网，其中许多设备使用已知易受攻击的版本。

如果你目前在惠普服务器中使用iLO 4，并运行旧版本，务必确保升级到最新固件。然后检查管理员帐户，查明有没有帐户是在你不知情的情况下创建的。最后但并非最不重要的一点是，确保你的iLO IP地址无法通过互联网来访问，只能通过VPN来访问。不然，你完全是自找麻烦。
（来源：云头条微信公众号）