安全專家發現一個新的Linux惡意軟件——ELF_IMEIJ
責編:mhshi |2017-03-23 11:40:54趨勢科技的安全專家發現了一個新的Linux惡意軟件系列ELF_IMEIJ,該惡意軟件利用了在2016年披露的CGI漏洞,主要針對來自監控技術公司AVTech的產品。
根據趨勢科技,該漏洞已在2016年10月通知AVTech,但供應商并沒有回應。
“該漏洞被安全研究機構Search-Lab發現并報告,并于2016年10月向AVTech告知。然而在Search-Lab重復嘗試聯系供應商后,依然沒有任何回應。”
惡意代碼ELF_IMEIJ.A嘗試向CloudSetup.cgi中注入已認證的命令來感染AVTech,所有支持Avtech云的AVTech設備中都存在CGI。
“支持Avtech云的設備包含CloudSetup.cgi-可以在身份驗證后訪問。 CloudSetup.cgi請求中的exefile參數需要指定要執行的系統命令。”Search-Lab發布的建議中寫到。“由于沒有對exefile參數進行驗證或基于白名單的檢查,因此攻擊者可以使用root權限執行任意系統命令。”
ELF_IMEIJ惡意軟件通過RFIs在cgi-bin腳本中傳播。攻擊者向隨機IP地址發送特定請求,嘗試發現易受攻擊的設備。木馬通過觸發惡意載荷下載的命令注入來傳遞。目標設備被欺騙獲取惡意文件,更改文件的權限,然后在本地執行。
“這個新的Linux惡意軟件的接入點是連接AVTech設備,如IP攝像機,CCTV設備和支持AVTech云的網絡錄像機。 一旦惡意軟件安裝到設備上,它就會收集系統信息和網絡活動數據。”趨勢科技提到。 “它還可以執行惡意的shell命令,啟動DDoS攻擊并終止自己”
研究人員解釋說,惡意軟件能夠執行來自惡意攻擊者的shell命令,并啟動DDoS攻擊。ELF_IMEIJ木馬只針對AVTech產品,它使用端口39999為了感染只有設備與不安全的cgi-bin腳本。
Mirai惡意軟件和ELF_IMEIJ.A對比
| MIRAI | IMEIJ | |
| Affected Devices | ?Various | AVTech |
| Used Ports | 7547 5555 48101 |
39999 |
| Exploits | Devices with BusyBox software installed by bruteforce | Devices unsecured cgi-bin scripts to install the malware ELF_IMEIJ.A |
“AVTech有超過13萬個不同的設備連接到互聯網,所以這種攻擊可用于獲得和維持對這些設備的持續訪問。”趨勢科技繼續分析。 “這些設備也可以變成機器人,用于驅動大規模DDoS攻擊。 與大多數連接的設備一樣,目標不是默認安全的,不可能直接監視,ELF_IMEIJ.A木馬的發現表明黑客在瞄準Linux設備。
原文:http://securityaffairs.co/wordpress/57067/malware/elf_imeij.html