Az ELF trójai veszélyezteti az IoT eszközöket

CH azonosító

CH-13561

Angol cím

Experts from MalwareMustDie spotted a new ELF trojan backdoor, dubbed ELF Linux/Mirai, which is now targeting IoT devices.

Felfedezés dátuma

2016.09.14.

Súlyosság

Közepes

Érintett rendszerek

Linux

Érintett verziók

Linux

Összefoglaló

A MalwareMustDie szakértői 2016 augusztusában az ELF/Mirai elnevezésű – IoT eszközöket veszélyeztető – trójai által létesített hátsó kaput elemeztek, amelyhez számos támadás köthető. 

Leírás

A szakértők szerint a káros kód rendkívül alattomos, a víruskereső programok sokszor nem is észlelik a jelenlétét. 

A trójai észlelését tovább nehezíti az a tény, hogy a fertőzött IoT eszközökből rendkívül körülményes kinyerni a káros kódot, ezért kevés minta áll a szakértők rendelkezésére. Ennek oka egyrészt az, hogy a trójai – közvetlenül a sikeres fertőzést követően – nem mutat semmiféle aktivitást, másrészt a késleltetett “process” kivételével semmilyen állomány sem marad az eszközön.

Sikeres fertőzés esetén további nehézséget jelent a fertőzött és nem fertőzött eszközök közötti különbségtétel. A fertőzöttség megállapításához – a jelenleg rendelkezésre álló információk szerint – memória vizsgálat szükséges, azonban ezt a vizsgálatot ilyen típusú eszközök esetében rendkívül nehéz lefolytatni.

Az eszközt – a fertőzés kezdetén – a file rendszer, illetve a külső hálózati forgalom megfigyeléséből származó adatokból levezetett, megszokott elemzői módszerekkel nem lehet észlelni. 

Megoldás

A fertőzés kockázatának és a hatásainak csökkentése érdekében az alábbi intézkedések megtétele javasolt:
  • amennyiben az eszköz működése érdekében nem szükséges a telnet szolgáltatás igénybevétele, javasolt a szolgáltatás, illetve a port letiltása, ellenkező esetben javasolt a szolgáltatás monitorozása 
  • amennyiben nincs szükség a 48101-es portra, a fertőzés megelőzése érdekében javasolt a port tiltása