安全专家发现一个新的Linux恶意软件——ELF_IMEIJ

趋势科技的安全专家发现了一个新的Linux恶意软件系列ELF_IMEIJ,该恶意软件利用了在2016年披露的CGI漏洞,主要针对来自监控技术公司AVTech的产品。

根据趋势科技,该漏洞已在2016年10月通知AVTech,但供应商并没有回应。

“该漏洞被安全研究机构Search-Lab发现并报告,并于2016年10月向AVTech告知。然而在Search-Lab重复尝试联系供应商后,依然没有任何回应。”

恶意代码ELF_IMEIJ.A尝试向CloudSetup.cgi中注入已认证的命令来感染AVTech,所有支持Avtech云的AVTech设备中都存在CGI。

“支持Avtech云的设备包含CloudSetup.cgi-可以在身份验证后访问。 CloudSetup.cgi请求中的exefile参数需要指定要执行的系统命令。”Search-Lab发布的建议中写到。“由于没有对exefile参数进行验证或基于白名单的检查,因此攻击者可以使用root权限执行任意系统命令。”

ELF_IMEIJ恶意软件通过RFIs在cgi-bin脚本中传播。攻击者向随机IP地址发送特定请求,尝试发现易受攻击的设备。木马通过触发恶意载荷下载的命令注入来传递。目标设备被欺骗获取恶意文件,更改文件的权限,然后在本地执行。

ELF_IMEIJ.A

“这个新的Linux恶意软件的接入点是连接AVTech设备,如IP摄像机,CCTV设备和支持AVTech云的网络录像机。 一旦恶意软件安装到设备上,它就会收集系统信息和网络活动数据。”趋势科技提到。 “它还可以执行恶意的shell命令,启动DDoS攻击并终止自己”

研究人员解释说,恶意软件能够执行来自恶意攻击者的shell命令,并启动DDoS攻击。ELF_IMEIJ木马只针对AVTech产品,它使用端口39999为了感染只有设备与不安全的cgi-bin脚本。

Mirai恶意软件和ELF_IMEIJ.A对比

MIRAI IMEIJ
Affected Devices  Various AVTech
Used Ports 7547
5555
48101
39999
Exploits Devices with BusyBox software installed by bruteforce Devices unsecured cgi-bin scripts to install the malware ELF_IMEIJ.A

“AVTech有超过13万个不同的设备连接到互联网,所以这种攻击可用于获得和维持对这些设备的持续访问。”趋势科技继续分析。 “这些设备也可以变成机器人,用于驱动大规模DDoS攻击。 与大多数连接的设备一样,目标不是默认安全的,不可能直接监视,ELF_IMEIJ.A木马的发现表明黑客在瞄准Linux设备。

原文:http://securityaffairs.co/wordpress/57067/malware/elf_imeij.html

上一篇:Adobe修复Flash Player和Shockwave中的漏洞

下一篇:第二届中国汽车网络信息安全峰会于2月上海成功召开