До конференции осталось — :::

IPMI backdoor не своими руками

18:55
30 мин
Defensive Track

Многие не подозревают, что для удаленного управления серверами по IPMI (Supermicro, HP iLo, Dell DRAC и тд) используется кастомизированная ОС Linux с !SSH!, работающих на модуле BMC с собственным процессором, сетевой картой, RAM и FLASH памятью. Продвинутые злоумышленники любят использовать ее для закладок и туннелирования атак, поскольку данные системы содержат много уязвимостей и в 90% случаев не обновляются. Хакеры могут жить там годами и оставаться незамеченными. Все ли вы знаете о своей инфраструктуре?

Если вы думаете, что размещение сетевых интерфейсов IPMI в изолированных VLAN’ах вас спасет – вы ошибаетесь. Всегда существует вероятность того, что либо оператор EO подключит управляющий интерфейс не в тот VLAN, либо вы столкнетесь с другим сюрпризом – режимами dedicated и failover, которые часто установлены по умолчанию. В этих режимах IPMI дополнительно транслирует свои mac-адреса на обычные сетевые карты. Вы думаете, что у вашего сервера только назначенные в ОС IP-адреса, а по факту, в промышленные сегменты попадают IP-адреса управляющих интерфейсов IPMI.

В докладе я расскажу о реальных кейсах взломов модулей IPMI, выявлениях вредоносных закладок, методах расследования (forensic) и обнаружения индикаторов компрометации (IoC).

Спикеры
Илья Зуев

Директор по информационной безопасности Райффайзенбанка, ТОП-менеджер, играющий тренер, ранее возглавлял Департамент кибербезопасности в онлайн-кинотеатре Okko и Rambler&Co. Окончил МИФИ, факультет Информационной безопасности (Б), начинал карьеру с сетевого инженера в Net-by-Net, администратора ИБ в Газпромбанке. Более 5 лет в должности CISO, 20 лет увлекается проведением комплексных тестов на проникновение.

Поделиться
Другие доклады
Основная программа
Исследуя Galaxy: построение эмуляторов для поиска уязвимостей в современных телефонах
Defensive Track
О метриках с практической точки зрения
Основная программа
8 способов шпионить за вашими консолями
Наверх