Dirty COW löydettiin viime vuonna, mutta sitä ei koskaan käytetty Androidissa paitsi roottauslaitteissa. nyt näemme sen ensimmäisen haitallisen käytön. Tapaa ZNIU.
Likainen COW (Dirty Copy-On-Write) tai CVE-2016-5195, on 9-vuotias Linux-virhe, joka löydettiin viime vuoden lokakuussa. Se on yksi vakavimmista vioista, joita Linux-ytimestä on koskaan löydetty, ja nyt ZNIU-niminen haittaohjelma on löydetty luonnosta. Virhe korjattiin joulukuun 2016 tietoturvapäivityksessä, mutta kaikki laitteet, jotka eivät ole saaneet sitä, ovat haavoittuvia. Kuinka monta laitetta se on? Melko paljon.
Kuten yllä näkyy, Android 4.4:ää edeltäneestä versiosta on olemassa huomattava määrä laitteita, kun Google aloitti tietoturvakorjausten tekemisen. Lisäksi kaikki laitteet, joissa on Android 6.0 Marshmallow tai vanhempi, ovat itse asiassa vaarassa elleivät he ole saaneet tietoturvakorjauksia joulukuun 2016 jälkeen, ja elleivät mainitut korjaustiedostot kohdistuneet oikein virheeseen. Koska monet valmistajat ovat laiminlyöneet tietoturvapäivityksiä, on vaikea sanoa, että useimmat ihmiset ovat todella suojattuja. Analyysi tekijältä
ZNIU – Ensimmäinen haittaohjelma, joka käyttää Dirty COW: tä Androidilla
Tehdään ensin yksi asia selväksi, ZNIU on ei Dirty COW: n ensimmäinen tallennettu käyttö Androidissa. Itse asiassa yksi käyttäjä foorumeillamme käytti Dirty COW -hyökkää (DirtySanta on periaatteessa vain Dirty COW) avataksesi LG V20:n käynnistyslataimen. ZNIU on vain ensimmäinen tallennettu virheen käyttö haitalliseen tarkoitukseen. Tämä johtuu todennäköisesti siitä, että sovellus on uskomattoman monimutkainen. Se näyttää olevan aktiivinen 40 maassa, ja yli 5000 tartunnan saanutta käyttäjää kirjoitettaessa. Se naamioituu pornografiaan ja pelisovelluksiin, joita on yli 1200 sovelluksessa.
Mitä ZNIU Dirty COW -haittaohjelma tekee?
Ensinnäkin ZNIU: n Dirty COW -toteutus toimii vain ARM- ja X86 64-bittisessä arkkitehtuurissa. Tämä ei kuulosta pahalta, sillä useimmissa 64-bittisen arkkitehtuurin lippulaivoissa on yleensä vähintään joulukuun 2016 tietoturvakorjaus. Kuitenkin, kaikki 32-bittiset laitteetvoi myös olla herkkä lovyroot tai KingoRoot, joita kaksi kuudesta ZNIU-rootkitistä käyttää.
Mutta mitä ZNIU tekee? Se enimmäkseen näkyy pornografiaan liittyvänä sovelluksena, mutta löytyy jälleen myös peleihin liittyvistä sovelluksista. Asennuksen jälkeen se tarkistaa ZNIU-hyötykuorman päivityksen. Sen jälkeen se aloittaa oikeuksien eskaloinnin, saa pääkäyttäjän oikeudet, ohittaa SELinuxin ja asentaa järjestelmään takaoven tulevia etähyökkäyksiä varten.
Kun sovellus on alustettu ja takaovi asennettu, se alkaa lähettää laite- ja operaattoritietoja takaisin Manner-Kiinassa sijaitsevalle palvelimelle. Sen jälkeen se alkaa siirtää rahaa tilille operaattorin maksupalvelun kautta, mutta vain jos tartunnan saaneella käyttäjällä on kiinalainen puhelinnumero. Tämän jälkeen tapahtumat vahvistavat viestit siepataan ja poistetaan. Kiinan ulkopuolelta tulevien käyttäjien tietonsa kirjataan ja takaovi asennetaan, mutta heille ei suoriteta maksuja tililtään. Otettu summa on naurettavan pieni varoitusten välttämiseksi, mikä vastaa 3 dollaria kuukaudessa. ZNIU hyödyntää pääkäyttäjän oikeuksia tekstiviestiin liittyviin toimintoihinsa, koska sovellukselle on yleensä myönnettävä käyttöoikeus tekstiviestien kanssa. Se voi myös tartuttaa muita laitteeseen asennettuja sovelluksia. Kaikki viestintä on salattu, mukaan lukien laitteelle ladatut rootkit-hyötykuormat.
Mainitusta salauksesta huolimatta hämäräprosessi oli tarpeeksi huono TrendLabs pystyivät määrittämään haittaohjelman ja palvelimen väliseen viestintään käytetyn verkkopalvelimen tiedot, mukaan lukien sijainnin.
Kuinka ZNIU Dirty COW -haittaohjelma toimii?
Se on melko yksinkertainen, miten se toimii, ja kiehtova turvallisuusnäkökulmasta. Sovellus lataa tarvitsemansa hyötykuorman nykyiselle laitteelle, jolla se on käynnissä, ja purkaa sen tiedostoksi. Tämä tiedosto sisältää kaikki skripti- tai ELF-tiedostot, joita haittaohjelma toimii. Se kirjoittaa sitten virtuaaliseen dynaamisesti linkitettyyn jaettuun objektiin (vDSO), joka on yleensä mekanismi, joka antaa käyttäjäsovelluksille (eli ei-rootille) tilaa työskennellä ytimessä. Tässä ei ole SELinux-rajaa, ja tässä Dirty COW: n "taika" todella tapahtuu. Se luo "käänteisen kuoren", mikä yksinkertaisesti tarkoittaa, että kone (tässä tapauksessa puhelimesi) suorittaa komentoja sovelluksellesi eikä päinvastoin. Tämä antaa hyökkääjälle mahdollisuuden päästä laitteeseen, minkä ZNIU tekee korjaamalla SELinuxin ja asentamalla takaoven juurikuoren.
Joten mitä voin tehdä?
Todellakin, kaikki mitä voit tehdä, on pysyä poissa sovelluksista, jotka eivät ole Play Kaupasta. Google on vahvistanut TrendLabs että Google Play Protect tunnistaa nyt sovelluksen. Jos laitteessasi on joulukuun 2016 tietoturvakorjaus tai uudempi, olet myös täysin turvassa.
Lähde: TrendLabs