Dirty COW leiti eelmisel aastal, kuid seda ei kasutatud kunagi Androidis, välja arvatud juurdumisseadmete jaoks. nüüd näeme selle esimest pahatahtlikku kasutamist. Tutvuge ZNIU-ga.
Räpane COW (Dirty Copy-On-Write) või CVE-2016-5195, on 9-aastane Linuxi viga, mis avastati eelmise aasta oktoobris. See on üks tõsisemaid vigu, mida Linuxi tuumast kunagi leitud on, ja nüüd on loodusest leitud pahavara nimega ZNIU. Viga parandati 2016. aasta detsembri turvavärskenduses, kuid kõik seadmed, mis pole seda saanud, on haavatavad. Mitu seadet see on? Üsna palju.
Nagu ülalt näha, on Android 4.4-eelsest versioonist, mil Google hakkas tegema turvapaiku, päris palju seadmeid. Veelgi enam, kõik Android 6.0 Marshmallow või vanema versiooniga seadmed on tegelikult ohus välja arvatud juhul, kui nad on saanud turvapaigad pärast 2016. aasta detsembrit, ja välja arvatud juhul, kui need plaastrid olid veale õigesti suunatud. Paljude tootjate hooletuse tõttu turvavärskenduste osas on raske öelda, et enamik inimesi on tegelikult kaitstud. Analüüs autor TrendLabs on avaldanud ZNIU kohta palju teavet.
ZNIU – esimene pahavara, mis kasutab Androidis Dirty COW-d
Kõigepealt teeme ühe asja selgeks, ZNIU on mitte Dirty COW esimene registreeritud kasutamine Androidis. Tegelikult kasutas meie foorumis olev kasutaja räpane lehma ärakasutamist (DirtySanta on põhimõtteliselt lihtsalt Dirty COW) LG V20 alglaaduri avamiseks. ZNIU on ainult esimene registreeritud veakasutus, mida kasutatakse pahatahtlikul eesmärgil. Tõenäoliselt on selle põhjuseks see, et rakendus on uskumatult keeruline. Tundub, et see on aktiivne 40 riigis ja selle kirjutamise ajal oli nakatunud üle 5000 kasutaja. See maskeerub pornograafia- ja mängurakendustesse, mida on rohkem kui 1200 rakenduses.
Mida teeb pahavara ZNIU Dirty COW?
Esiteks töötab ZNIU Dirty COW rakendus ainult ARM-i ja X86 64-bitise arhitektuuriga. See ei kõla väga halvasti, kuna enamikul 64-bitise arhitektuuri lipulaevadel on tavaliselt vähemalt 2016. aasta detsembri turvapaigad. Kuid, mis tahes 32-bitised seadmedvõivad olla ka vastuvõtlikud lovyroot või KingoRoot, mida kasutavad kaks kuuest ZNIU juurkomplektist.
Aga mida ZNIU teeb? See enamasti kuvatakse pornograafilise rakendusena, kuid seda võib leida ka mängudega seotud rakendustest. Pärast installimist kontrollib see ZNIU kasuliku koormuse värskendust. Seejärel alustab see privileegide eskaleerimist, omandab juurjuurdepääsu, läheb mööda SELinuxist ja paigaldab süsteemi tagaukse tulevaste kaugrünnakute jaoks.
Kui rakendus on lähtestatud ja tagauks installitud, hakkab see seadme ja operaatori teavet tagasi saatma Mandri-Hiinas asuvasse serverisse. Seejärel hakkab ta kandma raha kontole vedaja makseteenuse kaudu, kuid ainult siis, kui nakatunud kasutajal on Hiina telefoninumber. Seejärel võetakse tehinguid kinnitavad sõnumid kinni ja kustutatakse. Väljastpoolt Hiinat pärit kasutajate andmed logitakse sisse ja paigaldatakse tagauks, kuid nende kontolt ei tehta makseid. Võetud summa on etteteatamise vältimiseks naeruväärselt väike, mis võrdub 3 dollariga kuus. ZNIU kasutab oma SMS-iga seotud toimingute jaoks juurjuurdepääsu, kuna SMS-iga suhtlemiseks peab kasutaja tavaliselt andma rakendusele juurdepääsu. See võib nakatada ka teisi seadmesse installitud rakendusi. Kõik side on krüpteeritud, sealhulgas seadmesse alla laaditud juurkomplekti kasulikud koormused.
Hoolimata nimetatud krüpteerimisest oli hägustamise protsess piisavalt halb TrendLabs suutsid kindlaks teha pahavara ja serveri vaheliseks suhtluseks kasutatava veebiserveri üksikasjad, sealhulgas asukoha.
Kuidas ZNIU Dirty COW pahavara töötab?
See on üsna lihtne, kuidas see toimib, ja turvalisuse seisukohast põnev. Rakendus laadib alla kasuliku koormuse, mida see praeguse seadme jaoks vajab, ja ekstraktib selle failiks. See fail sisaldab kõiki skripti- või ELF-faile, mis on vajalikud pahavara toimimiseks. Seejärel kirjutab see virtuaalsesse dünaamiliselt lingitud ühisobjekti (vDSO), mis on tavaliselt mehhanism, mis annab kasutajarakendustele (st mittejuur) tuumas töötamiseks ruumi. Siin ei ole SELinuxi piirangut ja siin toimub Dirty COWi "maagia". See loob "vastupidise kesta", mis lihtsustatult tähendab, et masin (antud juhul teie telefon) täidab teie rakendusele käske, mitte vastupidi. See võimaldab ründajal seejärel seadmele juurde pääseda, mida ZNIU teeb SELinuxi paikamise ja tagaukse juurkesta installimisega.
Mida ma siis teha saan?
Tõesti, kõik, mida saate teha, on eemale hoida rakendustest, mis pole Play poes. Google on seda kinnitanud TrendLabs et Google Play Protect tunneb nüüd rakenduse ära. Kui teie seadmel on 2016. aasta detsembri või uuem turvapaik, olete samuti täiesti ohutu.
Allikas: TrendLabs