安全专家发现一个新的Linux恶意软件——ELF_IMEIJ
趋势科技的安全专家发现了一个新的Linux恶意软件系列ELF_IMEIJ,该恶意软件利用了在2016年披露的CGI漏洞,主要针对来自监控技术公司AVTech的产品。
根据趋势科技,该漏洞已在2016年10月通知AVTech,但供应商并没有回应。
“该漏洞被安全研究机构Search-Lab发现并报告,并于2016年10月向AVTech告知。然而在Search-Lab重复尝试联系供应商后,依然没有任何回应。”
恶意代码ELF_IMEIJ.A尝试向CloudSetup.cgi中注入已认证的命令来感染AVTech,所有支持Avtech云的AVTech设备中都存在CGI。
“支持Avtech云的设备包含CloudSetup.cgi-可以在身份验证后访问。 CloudSetup.cgi请求中的exefile参数需要指定要执行的系统命令。”Search-Lab发布的建议中写到。“由于没有对exefile参数进行验证或基于白名单的检查,因此攻击者可以使用root权限执行任意系统命令。”
ELF_IMEIJ恶意软件通过RFIs在cgi-bin脚本中传播。攻击者向随机IP地址发送特定请求,尝试发现易受攻击的设备。木马通过触发恶意载荷下载的命令注入来传递。目标设备被欺骗获取恶意文件,更改文件的权限,然后在本地执行。
“这个新的Linux恶意软件的接入点是连接AVTech设备,如IP摄像机,CCTV设备和支持AVTech云的网络录像机。 一旦恶意软件安装到设备上,它就会收集系统信息和网络活动数据。”趋势科技提到。 “它还可以执行恶意的shell命令,启动DDoS攻击并终止自己”
研究人员解释说,恶意软件能够执行来自恶意攻击者的shell命令,并启动DDoS攻击。ELF_IMEIJ木马只针对AVTech产品,它使用端口39999为了感染只有设备与不安全的cgi-bin脚本。
Mirai恶意软件和ELF_IMEIJ.A对比
MIRAI | IMEIJ | |
Affected Devices | Various | AVTech |
Used Ports | 7547 5555 48101 | 39999 |
Exploits | Devices with BusyBox software installed by bruteforce | Devices unsecured cgi-bin scripts to install the malware ELF_IMEIJ.A |
“AVTech有超过13万个不同的设备连接到互联网,所以这种攻击可用于获得和维持对这些设备的持续访问。”趋势科技继续分析。 “这些设备也可以变成机器人,用于驱动大规模DDoS攻击。 与大多数连接的设备一样,目标不是默认安全的,不可能直接监视,ELF_IMEIJ.A木马的发现表明黑客在瞄准Linux设备。
原文:http://securityaffairs.co/wordpress/57067/malware/elf_imeij.html
相关文章
- 2条评论
- 蓝殇几渡2022-06-03 17:49:45
- 任何回应。”恶意代码ELF_IMEIJ.A尝试向CloudSetup.cgi中注入已认证的命令来感染AVTech,所有支持Avtech云的AVTech设备中都存在CGI。“支持Avtech云的设备
- 冬马馥妴2022-06-03 15:04:16
- malware ELF_IMEIJ.A“AVTech有超过13万个不同的设备连接到互联网,所以这种攻击可用于获得和维持对这些设备的持续访问。”趋势科技继续分析。 “这些设备也可以变成机器人,用于驱动大规模DDoS攻击。 与大多数连接的设备一样,目标不是默认安全的,不可能直接监视