Dirty COW je pronađen prošle godine, ali nikada nije korišten na Androidu osim za rootanje uređaja. sada vidimo prvu njegovu zlonamjernu upotrebu. Upoznajte ZNIU.
Prljava KRAVA (Dirty Copy-On-Write), ili CVE-2016-5195, je 9 godina star Linux bug koji je otkriven u listopadu prošle godine. To je jedan od najozbiljnijih bugova ikada pronađenih unutar Linux kernela, a sada je malware nazvan ZNIU pronađen u divljini. Greška je zakrpana u sigurnosnom ažuriranju iz prosinca 2016., ali svi uređaji koji ga nisu primili su ranjivi. Koliko je to uređaja? Podosta.
Kao što možete vidjeti gore, zapravo postoji znatan broj uređaja iz razdoblja prije Androida 4.4, kada je Google počeo izrađivati sigurnosne zakrpe. Štoviše, svaki uređaj s Androidom 6.0 Marshmallow ili starijim bit će zapravo u opasnosti osim ako nisu primili sigurnosne zakrpe nakon prosinca 2016., i osim ako navedene zakrpe ispravno ciljaju bug. Uz nemar mnogih proizvođača prema sigurnosnim ažuriranjima, teško je reći da je većina ljudi zapravo zaštićena. Analiza autora TrendLabs je otkrio mnogo informacija o ZNIU.
ZNIU - Prvi zlonamjerni softver koji koristi Dirty COW na Androidu
Prvo da razjasnimo jednu stvar, ZNIU je ne prva zabilježena upotreba Dirty COW na Androidu. Zapravo, korisnik na našim forumima koristio je Dirty COW exploit (DirtySanta je u osnovi samo Dirty COW) za otključavanje pokretačkog programa LG V20. ZNIU je samo prva zabilježena upotreba buga u zlonamjerne svrhe. Vjerojatno je to zato što je aplikacija nevjerojatno složena. Čini se da je aktivan u 40 zemalja, s preko 5000 zaraženih korisnika u vrijeme pisanja. Prerušava se u pornografiju i aplikacije za igre, prisutne u preko 1200 aplikacija.
Što radi zlonamjerni softver ZNIU Dirty COW?
Prvo, implementacija ZNIU Dirty COW radi samo na ARM i X86 64-bitnoj arhitekturi. Ovo ne zvuči loše, jer će većina vodećih modela na 64-bitnoj arhitekturi obično imati barem sigurnosnu zakrpu iz prosinca 2016. Međutim, bilo koji 32-bitni uređajtakođer može biti osjetljiv na lovyroot ili KingoRoot, koje koriste dva od šest ZNIU rootkita.
Ali što radi ZNIU? To uglavnom pojavljuje se kao aplikacija povezana s pornografijom, ali se opet može pronaći u aplikacijama povezanim s igrama. Nakon instaliranja, provjerava ažuriranje za ZNIU korisni teret. Zatim će započeti eskalaciju privilegija, dobivanje root pristupa, zaobilaženje SELinuxa i instaliranje stražnjih vrata u sustav za buduće udaljene napade.
Nakon što se aplikacija inicijalizira i stražnja vrata instaliraju, ona počinje slati podatke o uređaju i operateru natrag na poslužitelj koji se nalazi u kontinentalnoj Kini. Zatim počinje prenositi novac na račun putem usluge plaćanja operatera, ali samo ako zaraženi korisnik ima kineski telefonski broj. Poruke koje potvrđuju transakcije tada se presreću i brišu. Korisnicima izvan Kine bit će zabilježeni podaci i instaliran backdoor, ali neće se vršiti plaćanja s njihovih računa. Iznos koji se uzima smiješno je mali da bi se izbjegla obavijest, ekvivalentan je 3 dolara mjesečno. ZNIU koristi root pristup za svoje radnje povezane sa SMS-om, jer da bi uopće komunicirala sa SMS-om, korisnik bi obično trebao odobriti pristup aplikaciji. Također može zaraziti druge aplikacije instalirane na uređaju. Sva komunikacija je šifrirana, uključujući rootkit sadržaje preuzete na uređaj.
Unatoč navedenoj enkripciji, proces maskiranja bio je dovoljno loš da TrendLabs bili u mogućnosti utvrditi pojedinosti o web poslužitelju, uključujući lokaciju, korištenu za komunikaciju između zlonamjernog softvera i poslužitelja.
Kako radi zlonamjerni softver ZNIU Dirty COW?
Prilično je jednostavno kako funkcionira i fascinantno iz sigurnosne perspektive. Aplikacija preuzima korisni teret koji je potreban za trenutni uređaj na kojem radi i izdvaja ga u datoteku. Ova datoteka sadrži sve skripte ili ELF datoteke potrebne za funkcioniranje zlonamjernog softvera. Zatim piše u virtualni dinamički povezani zajednički objekt (vDSO), koji je obično mehanizam za davanje prostora korisničkim aplikacijama (tj. ne-root) za rad unutar kernela. Ovdje nema ograničenja SELinuxa i ovdje se stvarno događa "čarolija" Prljave krave. Stvara "obrnutu ljusku", što jednostavno rečeno znači da stroj (u ovom slučaju vaš telefon) izvršava naredbe vašoj aplikaciji umjesto obrnuto. To omogućuje napadaču da dobije pristup uređaju, što ZNIU čini krpanjem SELinuxa i instaliranjem backdoor root shell-a.
Dakle, što mogu učiniti?
Stvarno, sve što možete učiniti je držati se podalje od aplikacija koje nisu u Trgovini Play. Google je potvrdio da TrendLabs da Google Play Protect sada će prepoznati aplikaciju. Ako vaš uređaj ima sigurnosnu zakrpu iz prosinca 2016. ili noviju, također ste potpuno sigurni.
Izvor: TrendLabs