物联网恶意软件IMEIJ分析报告

近日,安天追影小组在整理网络安全事件时,发现亚洲某监控技术公司正在遭受安全威胁。经分析,为Linux ARM平台上的恶意软件,安天追影小组将其命名为Trojan/Linux.IMEIJ.A。该恶意软件利用了该公司生产的监控产品上的一个漏洞进行入侵。

分析介绍:

安天追影小组的分析人员对该恶意软件中的MD5为a16a281cbe544af40f8463c7f5186496的样本进行了简要的分析。

Trojan/Linux.IMEIJ.A通过RFIs(Radio Frequency Identification 无线射频识别,一种通信技术)在cgi-bin脚本中进行传播。远程攻击者向随机的IP地址发送请求,并试图利用该漏洞,攻击者欺骗受感染的装置进行一个恶意文件的下载,并且改变该文件的本地权限。

该新型恶意软件的攻击始于与该公司产品设备的连接,例如支持该公司云产品的IP摄像机,CCTV设备和网络录像机。一旦恶意软件安装在该台设备上后,它会收集系统信息以及网络活动数据,还能执行来自攻击者的shell命令执行DDoS攻击删除自身等行为。受感染的设备也使处于同一网络下的设备暴露在了风险下,该公司的监控产品中有130000台不同的设备连接在互联网上,若这些设备被用于充当网络僵尸,将非常方便发起大规模的DDoS攻击。目前,检测到三个IP地址可以用于下载该恶意软件,这些地址来源于两个不同的ISP(互联网服务提供商),经分析,这些托管的IP地址来源于亚洲。

IMEIJ在DDoS方式上与Mirai类似,但是二者仍有明显的不同:Mirai可以感染多种多样的设备,而IMEIJ只能感染该公司的设备;Mirai使用的端口是7547、5555和48101,IMEIJ使用的端口是39999;Mirai通过暴力破解拥有BusyBox软件的设备进行下载安装,IMEIJ使用无安全保护的cgi-bin脚本进行传播安装。

总结:

物联网设备安全防护正处于一个发展阶段,目前并未有太多有效的手段,在此只能提醒广大网络用户,谨慎使用拥有的物联网设备,及时更新厂家发布的安全补丁,避免连入公用的WiFi网络。而物联网设备厂家们,更应对此类问题给予足够的重视,提升自身产品代码的安全性,发现漏洞后及时修复并发布安全补丁,以免给消费者以及厂家自身造成损失。

MD5:

a16a281cbe544af40f8463c7f5186496

参考链接:

http://blog.trendmicro.com/trendlabs-security-intelligence/new-linux-malware-exploits-cgi-vulnerability/