Dirty COW wurde letztes Jahr gefunden, aber außer zum Rooten von Geräten nie auf Android verwendet. Jetzt sehen wir den ersten böswilligen Einsatz davon. Lernen Sie ZNIU kennen.
Schmutzige KUH (Dirty Copy-On-Write) oder CVE-2016-5195ist ein 9 Jahre alter Linux-Fehler, der im Oktober letzten Jahres entdeckt wurde. Es handelt sich um einen der schwerwiegendsten Fehler, der jemals im Linux-Kernel gefunden wurde, und jetzt wurde Malware mit dem Namen ZNIU in freier Wildbahn gefunden. Der Fehler wurde im Sicherheitsupdate vom Dezember 2016 behoben, aber alle Geräte, die ihn nicht erhalten haben, sind anfällig. Wie viele Geräte sind das? Ziemlich viel.
Wie Sie oben sehen können, gibt es tatsächlich eine beträchtliche Anzahl von Geräten vor Android 4.4, als Google mit der Bereitstellung von Sicherheitspatches begann. Darüber hinaus ist tatsächlich jedes Gerät mit Android 6.0 Marshmallow oder niedriger gefährdet es sei denn, sie haben nach Dezember 2016 Sicherheitspatches erhalten, und es sei denn, die genannten Patches haben den Fehler ordnungsgemäß behoben
. Angesichts der Nachlässigkeit vieler Hersteller bei Sicherheitsupdates ist es schwer zu sagen, dass die meisten Menschen tatsächlich geschützt sind. Eine Analyse von TrendLabs hat viele Informationen über ZNIU enthüllt.ZNIU – Die erste Malware, die Dirty COW auf Android nutzt
Lassen Sie uns zunächst eines klarstellen: ZNIU ist es nicht die erste aufgezeichnete Nutzung von Dirty COW auf Android. Tatsächlich hat ein Benutzer in unseren Foren den Dirty COW-Exploit genutzt (DirtySanta ist im Grunde nur Dirty COW). um den Bootloader des LG V20 zu entsperren. ZNIU ist nur die erste aufgezeichnete Verwendung des Fehlers für einen böswilligen Zweck. Das liegt wahrscheinlich daran, dass die Anwendung unglaublich komplex ist. Es scheint in 40 Ländern aktiv zu sein und zum Zeitpunkt des Verfassens dieses Artikels über 5.000 infizierte Benutzer zu haben. Es tarnt sich in Pornografie und Spieleanwendungen, die in über 1200 Anwendungen vorkommen.
Was macht die ZNIU Dirty COW-Malware?
Erstens funktioniert die Dirty COW-Implementierung von ZNIU nur auf ARM- und X86-64-Bit-Architekturen. Das klingt nicht schlecht, da die meisten Flaggschiffe mit 64-Bit-Architektur normalerweise mindestens über den Sicherheitspatch vom Dezember 2016 verfügen. Jedoch, alle 32-Bit-Gerätekann auch anfällig sein zu lovyroot oder KingoRoot, die zwei der sechs ZNIU-Rootkits verwenden.
Aber was macht ZNIU? Es meistens erscheint als pornografische App, kann aber auch in spielebezogenen Anwendungen gefunden werden. Nach der Installation wird nach einem Update für die ZNIU-Nutzlast gesucht. Anschließend beginnt es mit der Rechteausweitung, erhält Root-Zugriff, umgeht SELinux und installiert eine Hintertür im System für zukünftige Remote-Angriffe.
Sobald die Anwendung initialisiert und die Hintertür installiert ist, beginnt sie, Geräte- und Netzbetreiberinformationen an einen Server auf dem chinesischen Festland zurückzusenden. Anschließend beginnt es, über den Zahlungsdienst eines Anbieters Geld auf ein Konto zu überweisen. allerdings nur, wenn der infizierte Benutzer eine chinesische Telefonnummer hat. Die Nachrichten zur Bestätigung der Transaktionen werden dann abgefangen und gelöscht. Bei Benutzern außerhalb Chinas werden die Daten protokolliert und eine Hintertür installiert, es werden jedoch keine Zahlungen von ihrem Konto vorgenommen. Der eingenommene Betrag ist lächerlich gering, um einer Kündigung zu entgehen, nämlich 3 US-Dollar pro Monat. ZNIU nutzt Root-Zugriff für seine SMS-bezogenen Aktionen, da einer Anwendung normalerweise Zugriff vom Benutzer gewährt werden muss, um überhaupt mit SMS interagieren zu können. Es kann auch andere auf dem Gerät installierte Anwendungen infizieren. Die gesamte Kommunikation wird verschlüsselt, einschließlich der auf das Gerät heruntergeladenen Rootkit-Payloads.
Trotz dieser Verschlüsselung war der Verschleierungsprozess so schlecht, dass dies der Fall war TrendLabs konnten die Details des Webservers, einschließlich des Standorts, ermitteln, der für die Kommunikation zwischen der Malware und dem Server verwendet wird.
Wie funktioniert die ZNIU Dirty COW-Malware?
Die Funktionsweise ist recht einfach und aus sicherheitstechnischer Sicht faszinierend. Die Anwendung lädt die Nutzdaten herunter, die sie für das aktuelle Gerät benötigt, auf dem sie ausgeführt wird, und extrahiert sie in eine Datei. Diese Datei enthält alle Skript- oder ELF-Dateien, die für die Funktion der Malware erforderlich sind. Anschließend wird in ein virtuelles Dynamically Linked Shared Object (vDSO) geschrieben, bei dem es sich normalerweise um einen Mechanismus handelt, um Benutzeranwendungen (d. h. Nicht-Root-Anwendungen) einen Platz zum Arbeiten innerhalb des Kernels zu geben. Hier gibt es kein SELinux-Limit, und hier kommt die „Magie“ von Dirty COW erst richtig zur Geltung. Es erstellt eine „Reverse-Shell“, was vereinfacht gesagt bedeutet, dass die Maschine (in diesem Fall Ihr Telefon) Befehle an Ihre Anwendung ausführt und nicht umgekehrt. Dies ermöglicht es dem Angreifer, Zugriff auf das Gerät zu erhalten, was ZNIU durch das Patchen von SELinux und die Installation einer Backdoor-Root-Shell erreicht.
Was kann ich also tun?
Eigentlich können Sie sich nur von Anwendungen fernhalten, die es nicht im Play Store gibt. Google hat dies bestätigt TrendLabs Das Google Play Protect erkennt die Anwendung nun. Wenn Ihr Gerät über den Sicherheitspatch vom Dezember 2016 oder höher verfügt, sind Sie ebenfalls vollkommen sicher.
Quelle: TrendLabs