До конференции осталось — :::

IPMI backdoor не своими руками

18:55 - 19:35
30 мин
Defensive Track

Многие не подозревают, что для удаленного управления серверами по IPMI (Supermicro, HP iLo, Dell DRAC и тд) используется кастомизированная ОС Linux с !SSH!, работающих на модуле BMC с собственным процессором, сетевой картой, RAM и FLASH памятью. Продвинутые злоумышленники любят использовать ее для закладок и туннелирования атак, поскольку данные системы содержат много уязвимостей и в 90% случаев не обновляются. Хакеры могут жить там годами и оставаться незамеченными. Все ли вы знаете о своей инфраструктуре?

Если вы думаете, что размещение сетевых интерфейсов IPMI в изолированных VLAN’ах вас спасет – вы ошибаетесь. Всегда существует вероятность того, что либо оператор EO подключит управляющий интерфейс не в тот VLAN, либо вы столкнетесь с другим сюрпризом – режимами dedicated и failover, которые часто установлены по умолчанию. В этих режимах IPMI дополнительно транслирует свои mac-адреса на обычные сетевые карты. Вы думаете, что у вашего сервера только назначенные в ОС IP-адреса, а по факту, в промышленные сегменты попадают IP-адреса управляющих интерфейсов IPMI.

В докладе я расскажу о реальных кейсах взломов модулей IPMI, выявлениях вредоносных закладок, методах расследования (forensic) и обнаружения индикаторов компрометации (IoC).

Спикеры
Илья Зуев

Директор по кибербезопасности Rambler&Co и онлайн-кинотеатра Okko, ТОП-менеджер, играющий тренер. Окончил МИФИ, факультет Информационной безопасности (Б). Начинал карьеру с сетевого инженера в Net-by-Net, администратора ИБ в Газпромбанке. Более 5 лет в должности CISO, 20 лет увлекается проведением комплексных тестов на проникновение.

Поделиться
Другие доклады
Defensive Track
Опыт внедрения статического анализа в большой организации
Defensive Track
CVEhound: проверка исходников Linux на известные CVE
Основная программа
Data-only атаки на UEFI BIOS
Наверх