Az ELF trójai veszélyezteti az IoT eszközöket

CH azonosító

CH-13561

Angol cím

Experts from MalwareMustDie spotted a new ELF trojan backdoor, dubbed ELF Linux/Mirai, which is now targeting IoT devices.

Felfedezés dátuma

2016.09.14.

Súlyosság

Közepes

Érintett rendszerek

Linux

Érintett verziók

Linux

Összefoglaló

A MalwareMustDie szakértői 2016 augusztusában az ELF/Mirai elnevezésű – IoT eszközöket veszélyeztető – trójai által létesített hátsó kaput elemeztek, amelyhez számos támadás köthető. 

Leírás

A szakértők szerint a káros kód rendkívül alattomos, a víruskereső programok sokszor nem is észlelik a jelenlétét. 

A trójai észlelését tovább nehezíti az a tény, hogy a fertőzött IoT eszközökből rendkívül körülményes kinyerni a káros kódot, ezért kevés minta áll a szakértők rendelkezésére. Ennek oka egyrészt az, hogy a trójai – közvetlenül a sikeres fertőzést követően – nem mutat semmiféle aktivitást, másrészt a késleltetett “process” kivételével semmilyen állomány sem marad az eszközön.

Sikeres fertőzés esetén további nehézséget jelent a fertőzött és nem fertőzött eszközök közötti különbségtétel. A fertőzöttség megállapításához – a jelenleg rendelkezésre álló információk szerint – memória vizsgálat szükséges, azonban ezt a vizsgálatot ilyen típusú eszközök esetében rendkívül nehéz lefolytatni.

Az eszközt – a fertőzés kezdetén – a file rendszer, illetve a külső hálózati forgalom megfigyeléséből származó adatokból levezetett, megszokott elemzői módszerekkel nem lehet észlelni. 

Megoldás

A fertőzés kockázatának és a hatásainak csökkentése érdekében az alábbi intézkedések megtétele javasolt:
  • amennyiben az eszköz működése érdekében nem szükséges a telnet szolgáltatás igénybevétele, javasolt a szolgáltatás, illetve a port letiltása, ellenkező esetben javasolt a szolgáltatás monitorozása 
  • amennyiben nincs szükség a 48101-es portra, a fertőzés megelőzése érdekében javasolt a port tiltása

Legfrissebb sérülékenységek
CVE-2024-29944 – Mozilla Firefox ESR sérülékenysége
CVE-2024-29943 – Mozilla Firefox sérülékenysége
CVE-2024-28916 – Xbox Gaming Services sérülékenysége
CVE-2023-46808 – Ivanti Neurons for ITSM sérülékenysége
CVE-2024-2169 – UDP sérülékenysége
CVE-2023-41724 – Ivanti Standalone Sentry sérülékenysége
CVE-2024-27957 – Pie Register sérülékenysége
CVE-2024-25153 – Fortra FileCatalyst sérülékenysége
CVE-2024-21407 – Windows Hyper-V sérülékenysége
CVE-2024-21390 – Microsoft Authenticator sérülékenysége
Tovább a sérülékenységekhez »