Το Dirty COW βρέθηκε πέρυσι, αλλά δεν χρησιμοποιήθηκε ποτέ σε Android εκτός από συσκευές rooting. τώρα βλέπουμε την πρώτη κακόβουλη χρήση του. Γνωρίστε το ZNIU.
βρώμικη ΑΓΕΛΑΔΑ (Dirty Copy-On-Write) ή CVE-2016-5195, είναι ένα σφάλμα Linux 9 ετών που ανακαλύφθηκε τον περασμένο Οκτώβριο. Είναι ένα από τα πιο σοβαρά σφάλματα που έχουν βρεθεί ποτέ στον πυρήνα του Linux και τώρα το κακόβουλο λογισμικό με το όνομα ZNIU έχει βρεθεί στη φύση. Το σφάλμα διορθώθηκε στην ενημέρωση ασφαλείας του Δεκεμβρίου 2016, αλλά όσες συσκευές δεν το έχουν λάβει είναι ευάλωτες. Πόσες συσκευές είναι αυτές; Αρκετά.
Όπως μπορείτε να δείτε παραπάνω, υπάρχει στην πραγματικότητα ένας αρκετά μεγάλος αριθμός συσκευών από το pre-Android 4.4, όταν η Google άρχισε να δημιουργεί ενημερώσεις κώδικα ασφαλείας. Επιπλέον, οποιαδήποτε συσκευή με Android 6.0 Marshmallow ή παλαιότερη έκδοση θα κινδυνεύει πραγματικά εκτός εάν έλαβαν ενημερώσεις κώδικα ασφαλείας τον Δεκέμβριο του 2016, και εκτός εάν τα εν λόγω patches στόχευαν σωστά το σφάλμα
ZNIU - Το πρώτο κακόβουλο λογισμικό που χρησιμοποιεί το Dirty COW στο Android
Πρώτα ας ξεκαθαρίσουμε ένα πράγμα, το ZNIU είναι δεν η πρώτη καταγεγραμμένη χρήση του Dirty COW στο Android. Στην πραγματικότητα, ένας χρήστης στα φόρουμ μας χρησιμοποίησε την εκμετάλλευση Dirty COW (το DirtySanta είναι βασικά απλώς Dirty COW) για να ξεκλειδώσετε τον bootloader του LG V20. Το ZNIU είναι μόνο η πρώτη καταγεγραμμένη χρήση του σφάλματος που χρησιμοποιείται για κακόβουλο σκοπό. Είναι πιθανό αυτό να συμβαίνει επειδή η εφαρμογή είναι απίστευτα περίπλοκη. Φαίνεται να είναι ενεργό σε 40 χώρες, με περισσότερους από 5000 μολυσμένους χρήστες τη στιγμή της σύνταξης. Μεταμφιέζεται σε εφαρμογές πορνογραφίας και παιχνιδιών, που υπάρχει σε περισσότερες από 1200 εφαρμογές.
Τι κάνει το κακόβουλο λογισμικό ZNIU Dirty COW;
Πρώτον, η υλοποίηση Dirty COW του ZNIU λειτουργεί μόνο σε αρχιτεκτονική ARM και X86 64-bit. Αυτό δεν ακούγεται πολύ κακό, καθώς οι περισσότερες ναυαρχίδες με αρχιτεκτονική 64-bit συνήθως θα έχουν τουλάχιστον την ενημερωμένη έκδοση κώδικα ασφαλείας του Δεκεμβρίου 2016. Ωστόσο, οποιεσδήποτε συσκευές 32-bitμπορεί επίσης να είναι επιρρεπής στο lovyroot ή στο KingoRoot, τα οποία χρησιμοποιούν δύο από τα έξι rootkits ZNIU.
Τι κάνει όμως το ZNIU; Το ως επί το πλείστον εμφανίζεται ως πορνογραφική εφαρμογή, αλλά και πάλι μπορεί να βρεθεί σε εφαρμογές που σχετίζονται με παιχνίδια. Μόλις εγκατασταθεί, ελέγχει για ενημέρωση για το ωφέλιμο φορτίο ZNIU. Στη συνέχεια, θα ξεκινήσει η κλιμάκωση των προνομίων, αποκτώντας πρόσβαση root, παρακάμπτοντας το SELinux και εγκαθιστώντας μια κερκόπορτα στο σύστημα για μελλοντικές απομακρυσμένες επιθέσεις.
Μόλις αρχικοποιηθεί η εφαρμογή και εγκατασταθεί η κερκόπορτα, αρχίζει να στέλνει πληροφορίες συσκευής και φορέα πίσω σε έναν διακομιστή που βρίσκεται στην ηπειρωτική Κίνα. Στη συνέχεια, αρχίζει να μεταφέρει χρήματα σε έναν λογαριασμό μέσω της υπηρεσίας πληρωμών ενός μεταφορέα, αλλά μόνο εάν ο χρήστης που έχει μολυνθεί έχει κινεζικό αριθμό τηλεφώνου. Τα μηνύματα που επιβεβαιώνουν τις συναλλαγές στη συνέχεια υποκλαπούν και διαγράφονται. Οι χρήστες εκτός Κίνας θα έχουν καταγράψει τα δεδομένα τους και θα εγκαταστήσουν μια κερκόπορτα, αλλά δεν θα πραγματοποιούν πληρωμές από τον λογαριασμό τους. Το ποσό που λαμβάνεται είναι γελοία μικρό για να αποφευχθεί η ειδοποίηση, που ισοδυναμεί με 3 $ το μήνα. Το ZNIU αξιοποιεί την πρόσβαση root για τις ενέργειες που σχετίζονται με τα SMS, καθώς για να αλληλεπιδράσει καθόλου με το SMS μια εφαρμογή θα έπρεπε κανονικά να έχει πρόσβαση από τον χρήστη. Μπορεί επίσης να μολύνει άλλες εφαρμογές που είναι εγκατεστημένες στη συσκευή. Όλες οι επικοινωνίες είναι κρυπτογραφημένες, συμπεριλαμβανομένων των ωφέλιμων φορτίων του rootkit που έχουν ληφθεί στη συσκευή.
Παρά την εν λόγω κρυπτογράφηση, η διαδικασία συσκότισης ήταν αρκετά κακή TrendLabs ήταν σε θέση να προσδιορίσουν τις λεπτομέρειες του διακομιστή web, συμπεριλαμβανομένης της τοποθεσίας, που χρησιμοποιείται για την επικοινωνία μεταξύ του κακόβουλου λογισμικού και του διακομιστή.
Πώς λειτουργεί το κακόβουλο λογισμικό ZNIU Dirty COW;
Είναι αρκετά απλός τρόπος λειτουργίας και συναρπαστικός από την άποψη της ασφάλειας. Η εφαρμογή κατεβάζει το ωφέλιμο φορτίο που χρειάζεται για την τρέχουσα συσκευή στην οποία εκτελείται και το εξάγει σε ένα αρχείο. Αυτό το αρχείο περιέχει όλα τα αρχεία script ή ELF που απαιτούνται για τη λειτουργία του κακόβουλου λογισμικού. Στη συνέχεια, γράφει στο εικονικό δυναμικά συνδεδεμένο κοινόχρηστο αντικείμενο (vDSO), το οποίο είναι συνήθως ένας μηχανισμός για να δίνει στις εφαρμογές χρήστη (δηλαδή, μη ρίζα) χώρο για να εργαστούν μέσα στον πυρήνα. Δεν υπάρχει όριο SELinux εδώ, και εδώ συμβαίνει πραγματικά η «μαγεία» του Dirty COW. Δημιουργεί ένα "αντίστροφο κέλυφος", το οποίο με απλά λόγια σημαίνει ότι το μηχάνημα (σε αυτήν την περίπτωση, το τηλέφωνό σας) εκτελεί εντολές στην εφαρμογή σας αντί για το αντίστροφο. Αυτό επιτρέπει στον εισβολέα να αποκτήσει πρόσβαση στη συσκευή, κάτι που κάνει το ZNIU επιδιορθώνοντας το SELinux και εγκαθιστώντας ένα ριζικό κέλυφος κερκόπορτας.
Λοιπόν τι μπορώ να κάνω?
Πραγματικά, το μόνο που μπορείτε να κάνετε είναι να μείνετε μακριά από εφαρμογές που δεν βρίσκονται στο Play Store. Η Google το επιβεβαίωσε TrendLabs ότι Το Google Play Protect θα αναγνωρίσει πλέον την εφαρμογή. Εάν η συσκευή σας έχει την ενημερωμένη έκδοση κώδικα ασφαλείας Δεκεμβρίου 2016 ή μεταγενέστερη, είστε επίσης απόλυτα ασφαλείς.
Πηγή: TrendLabs