Összefoglaló
A MalwareMustDie szakértői 2016 augusztusában az ELF/Mirai elnevezésű – IoT eszközöket veszélyeztető – trójai által létesített hátsó kaput elemeztek, amelyhez számos támadás köthető.
Leírás
A szakértők szerint a káros kód rendkívül alattomos, a víruskereső programok sokszor nem is észlelik a jelenlétét.
A trójai észlelését tovább nehezíti az a tény, hogy a fertőzött IoT eszközökből rendkívül körülményes kinyerni a káros kódot, ezért kevés minta áll a szakértők rendelkezésére. Ennek oka egyrészt az, hogy a trójai – közvetlenül a sikeres fertőzést követően – nem mutat semmiféle aktivitást, másrészt a késleltetett “process” kivételével semmilyen állomány sem marad az eszközön.
Sikeres fertőzés esetén további nehézséget jelent a fertőzött és nem fertőzött eszközök közötti különbségtétel. A fertőzöttség megállapításához – a jelenleg rendelkezésre álló információk szerint – memória vizsgálat szükséges, azonban ezt a vizsgálatot ilyen típusú eszközök esetében rendkívül nehéz lefolytatni.
Az eszközt – a fertőzés kezdetén – a file rendszer, illetve a külső hálózati forgalom megfigyeléséből származó adatokból levezetett, megszokott elemzői módszerekkel nem lehet észlelni.
Megoldás
- amennyiben az eszköz működése érdekében nem szükséges a telnet szolgáltatás igénybevétele, javasolt a szolgáltatás, illetve a port letiltása, ellenkező esetben javasolt a szolgáltatás monitorozása
- amennyiben nincs szükség a 48101-es portra, a fertőzés megelőzése érdekében javasolt a port tiltása
Támadás típusa
Command InjectionHijacking (Visszaélés)
backdoor
execute arbitrary code
execute code
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: securityaffairs.co