Dirty COW беше намерен миналата година, но никога не е бил използван на Android, освен за руут устройства. сега виждаме първото му злонамерено използване. Запознайте се със ZNIU.
Мръсна КРАВА (Dirty Copy-On-Write) или CVE-2016-5195, е 9-годишен бъг в Linux, който беше открит през октомври миналата година. Това е един от най-сериозните грешки, откривани някога в ядрото на Linux, а сега злонамерен софтуер, наречен ZNIU, е открит в дивата природа. Грешката беше коригирана в актуализацията за защита от декември 2016 г., но всички устройства, които не са я получили, са уязвими. Колко устройства са това? Много.
Както можете да видите по-горе, всъщност има значителен брой устройства от преди Android 4.4, когато Google започна да прави корекции за сигурност. Нещо повече, всяко устройство с Android 6.0 Marshmallow или по-стара версия всъщност ще бъде изложено на риск освен ако не са получили корекции за сигурност след декември 2016 г., и освен ако споменатите корекции не са насочени правилно към грешката
ZNIU - Първият зловреден софтуер, използващ Dirty COW на Android
Първо нека изясним едно нещо, ZNIU е не първото регистрирано използване на Dirty COW на Android. Всъщност потребител на нашите форуми е използвал експлойта Dirty COW (DirtySanta всъщност е просто Dirty COW) за отключване на буутлоудъра на LG V20. ZNIU е само първото регистрирано използване на грешката, използвана за злонамерена цел. Вероятно това е така, защото приложението е невероятно сложно. Изглежда, че е активен в 40 страни, с над 5000 заразени потребители към момента на писане. Маскира се в порнография и приложения за игри, присъстващи в над 1200 приложения.
Какво прави зловредният софтуер ZNIU Dirty COW?
Първо, внедряването Dirty COW на ZNIU работи само на ARM и X86 64-битова архитектура. Това не звучи много зле, тъй като повечето флагмани на 64-битова архитектура обикновено ще имат най-малкото корекция за сигурност от декември 2016 г. Въпреки това, всякакви 32-битови устройствасъщо може да бъде податлив към lovyroot или KingoRoot, които използват два от шестте руткита на ZNIU.
Но какво прави ZNIU? То предимно се появява като приложение, свързано с порнография, но отново може да бъде намерено и в приложения, свързани с игри. Веднъж инсталиран, той проверява за актуализация за полезния товар на ZNIU. След това ще започне ескалация на привилегии, получаване на root достъп, заобикаляне на SELinux и инсталиране на задна врата в системата за бъдещи отдалечени атаки.
След като приложението се инициализира и задната врата е инсталирана, то започва да изпраща информация за устройството и оператора обратно към сървър, разположен в континентален Китай. След това започва да прехвърля пари към сметка чрез платежна услуга на оператора, но само ако заразеният потребител има китайски телефонен номер. След това съобщенията, потвърждаващи транзакциите, се прихващат и изтриват. Потребителите извън Китай ще регистрират данните си и ще инсталират задна врата, но няма да имат плащания, извършвани от акаунта им. Взетата сума е абсурдно малка, за да не бъде забелязана, еквивалентът на 3 долара на месец. ZNIU използва root достъп за своите действия, свързани със SMS, тъй като за да взаимодейства изобщо със SMS, приложението обикновено трябва да получи достъп от потребителя. Може също да зарази други приложения, инсталирани на устройството. Всички комуникации са криптирани, включително полезните данни на rootkit, изтеглени на устройството.
Въпреки споменатото криптиране, процесът на обфускация беше достатъчно лош TrendLabs успяха да определят подробностите за уеб сървъра, включително местоположението, използвани за комуникация между злонамерения софтуер и сървъра.
Как работи зловредният софтуер ZNIU Dirty COW?
Доста е просто как работи и завладяващо от гледна точка на сигурността. Приложението изтегля полезния товар, от който се нуждае за текущото устройство, на което работи, и го извлича във файл. Този файл съдържа всички скриптове или ELF файлове, необходими за функционирането на зловреден софтуер. След това той записва във виртуален динамично свързан споделен обект (vDSO), който обикновено е механизъм за предоставяне на потребителски приложения (т.е. различни от root) пространство за работа в ядрото. Тук няма ограничение за SELinux и тук наистина се случва „магията“ на Dirty COW. Той създава "обратна обвивка", което с прости думи означава, че машината (в този случай вашият телефон) изпълнява команди към вашето приложение, вместо обратното. Това позволява на атакуващия след това да получи достъп до устройството, което ZNIU прави чрез корекция на SELinux и инсталиране на задната врата root shell.
Какво мога да направя?
Наистина всичко, което можете да направите, е да стоите далеч от приложения, които не са в Play Store. Google потвърди за TrendLabs че Google Play Protect вече ще разпознае приложението. Ако вашето устройство има корекция за сигурност от декември 2016 г. или по-нова, вие също сте в пълна безопасност.
Източник: TrendLabs