Összefoglaló
A MalwareMustDie szakértői 2016 augusztusában az ELF/Mirai elnevezésű – IoT eszközöket veszélyeztető – trójai által létesített hátsó kaput elemeztek, amelyhez számos támadás köthető.
Leírás
A szakértők szerint a káros kód rendkívül alattomos, a víruskereső programok sokszor nem is észlelik a jelenlétét.
A trójai észlelését tovább nehezíti az a tény, hogy a fertőzött IoT eszközökből rendkívül körülményes kinyerni a káros kódot, ezért kevés minta áll a szakértők rendelkezésére. Ennek oka egyrészt az, hogy a trójai – közvetlenül a sikeres fertőzést követően – nem mutat semmiféle aktivitást, másrészt a késleltetett “process” kivételével semmilyen állomány sem marad az eszközön.
Sikeres fertőzés esetén további nehézséget jelent a fertőzött és nem fertőzött eszközök közötti különbségtétel. A fertőzöttség megállapításához – a jelenleg rendelkezésre álló információk szerint – memória vizsgálat szükséges, azonban ezt a vizsgálatot ilyen típusú eszközök esetében rendkívül nehéz lefolytatni.
Az eszközt – a fertőzés kezdetén – a file rendszer, illetve a külső hálózati forgalom megfigyeléséből származó adatokból levezetett, megszokott elemzői módszerekkel nem lehet észlelni.
Megoldás
- amennyiben az eszköz működése érdekében nem szükséges a telnet szolgáltatás igénybevétele, javasolt a szolgáltatás, illetve a port letiltása, ellenkező esetben javasolt a szolgáltatás monitorozása
- amennyiben nincs szükség a 48101-es portra, a fertőzés megelőzése érdekében javasolt a port tiltása
Támadás típusa
Command InjectionHijacking (Visszaélés)
backdoor
execute arbitrary code
execute code
Hatás
Loss of integrity (Sértetlenség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: securityaffairs.co