安全专家发现一个新的Linux恶意软件——ELF_IMEIJ

趋势科技的安全专家发现了一个新的Linux恶意软件系列ELF_IMEIJ，该恶意软件利用了在2016年披露的CGI漏洞，主要针对来自监控技术公司AVTech的产品。

根据趋势科技，该漏洞已在2016年10月通知AVTech，但供应商并没有回应。

“该漏洞被安全研究机构Search-Lab发现并报告，并于2016年10月向AVTech告知。然而在Search-Lab重复尝试联系供应商后，依然没有任何回应。”

恶意代码ELF_IMEIJ.A尝试向CloudSetup.cgi中注入已认证的命令来感染AVTech，所有支持Avtech云的AVTech设备中都存在CGI。

“支持Avtech云的设备包含CloudSetup.cgi-可以在身份验证后访问。 CloudSetup.cgi请求中的exefile参数需要指定要执行的系统命令。”Search-Lab发布的建议中写到。“由于没有对exefile参数进行验证或基于白名单的检查，因此攻击者可以使用root权限执行任意系统命令。”

ELF_IMEIJ恶意软件通过RFIs在cgi-bin脚本中传播。攻击者向随机IP地址发送特定请求，尝试发现易受攻击的设备。木马通过触发恶意载荷下载的命令注入来传递。目标设备被欺骗获取恶意文件，更改文件的权限，然后在本地执行。

“这个新的Linux恶意软件的接入点是连接AVTech设备，如IP摄像机，CCTV设备和支持AVTech云的网络录像机。 一旦恶意软件安装到设备上，它就会收集系统信息和网络活动数据。”趋势科技提到。 “它还可以执行恶意的shell命令，启动DDoS攻击并终止自己”

研究人员解释说，恶意软件能够执行来自恶意攻击者的shell命令，并启动DDoS攻击。ELF_IMEIJ木马只针对AVTech产品，它使用端口39999为了感染只有设备与不安全的cgi-bin脚本。

Mirai恶意软件和ELF_IMEIJ.A对比

“AVTech有超过13万个不同的设备连接到互联网，所以这种攻击可用于获得和维持对这些设备的持续访问。”趋势科技继续分析。 “这些设备也可以变成机器人，用于驱动大规模DDoS攻击。 与大多数连接的设备一样，目标不是默认安全的，不可能直接监视，ELF_IMEIJ.A木马的发现表明黑客在瞄准Linux设备。

原文：http://securityaffairs.co/wordpress/57067/malware/elf_imeij.html