A Dirty COW-t tavaly találták meg, de soha nem használták Androidon, kivéve rootoló eszközökön. most látjuk az első rosszindulatú használatát. Ismerje meg a ZNIU-t.
Piszkos tehén (Dirty Copy-On-Write), vagy CVE-2016-5195, egy 9 éves Linux-hiba, amelyet tavaly októberben fedeztek fel. Ez az egyik legsúlyosabb hiba, amelyet valaha találtak a Linux kernelben, és most a ZNIU nevű rosszindulatú programot találták meg a vadonban. A hibát a 2016. decemberi biztonsági frissítésben javították, de minden olyan eszköz, amely nem kapta meg, sebezhető. Hány készülékről van szó? Elég sok.
Mint fentebb látható, valójában jelentős számú eszköz létezik az Android 4.4 előtti verziótól, amikor a Google elkezdett biztonsági javításokat készíteni. Sőt, minden Android 6.0 Marshmallow vagy régebbi rendszert futtató eszköz ténylegesen veszélynek van kitéve kivéve, ha 2016 decembere után kaptak biztonsági javításokat, és hacsak az említett foltok nem célozták meg megfelelően a hibát. Mivel sok gyártó figyelmen kívül hagyja a biztonsági frissítéseket, nehéz kijelenteni, hogy a legtöbb ember valóban védett. Elemzése
TrendLabs sok információt elárult a ZNIU-ról.ZNIU – Az első rosszindulatú program, amely Dirty COW-t használ Androidon
Először is tisztázzunk egy dolgot, a ZNIU az nem a Dirty COW első rögzített használata Androidon. Valójában egy felhasználó a fórumunkon a Dirty COW exploitot használta (a DirtySanta alapvetően csak Dirty COW) az LG V20 rendszerbetöltőjének feloldásához. A ZNIU csak az első feljegyzett hiba, amelyet rosszindulatú célra használnak fel. Ez valószínűleg azért van, mert az alkalmazás hihetetlenül összetett. Úgy tűnik, hogy 40 országban aktív, több mint 5000 fertőzött felhasználóval a cikk írásakor. Pornográf és játékalkalmazásokba álcázza magát, több mint 1200 alkalmazásban.
Mit csinál a ZNIU Dirty COW kártevő?
Először is, a ZNIU Dirty COW implementációja csak ARM és X86 64 bites architektúrán működik. Ez nem hangzik túl rosszul, mivel a legtöbb 64 bites architektúra zászlóshajója általában legalább a 2016. decemberi biztonsági javítással rendelkezik. Azonban, bármilyen 32 bites eszközis érzékeny lehet lovyroot vagy KingoRoot, amelyet a hat ZNIU rootkit közül kettő használ.
De mit csinál a ZNIU? Azt többnyire pornográf alkalmazásként jelenik meg, de a játékkal kapcsolatos alkalmazásokban is megtalálható. A telepítés után ellenőrzi, hogy van-e frissítés a ZNIU rakományhoz. Ezután megkezdi a privilégiumok kiszélesítését, root hozzáférést kap, megkerüli a SELinuxot, és hátsó ajtót telepít a rendszerbe a jövőbeli távoli támadásokhoz.
Az alkalmazás inicializálása és a hátsó ajtó telepítése után megkezdi az eszköz és a szolgáltató adatainak visszaküldését a Kínában található szerverre. Ezután elkezd pénzt utalni egy számlára a fuvarozó fizetési szolgáltatásán keresztül, de csak akkor, ha a fertőzött felhasználó kínai telefonszámmal rendelkezik. A tranzakciókat megerősítő üzeneteket ezután elfogja és törli. A Kínán kívüli felhasználók adataik naplózva lesznek, és egy hátsó ajtót telepítenek, de a számlájukról nem fizetnek. A felvett összeg nevetségesen kicsi az értesítés elkerülése érdekében, ami havi 3 dollárnak felel meg. A ZNIU root hozzáférést használ az SMS-ekkel kapcsolatos műveleteihez, mivel az SMS-sel való interakcióhoz az alkalmazásnak általában hozzáférést kell adnia a felhasználónak. Az eszközre telepített más alkalmazásokat is megfertőzheti. Minden kommunikáció titkosított, beleértve az eszközre letöltött rootkit hasznos adatokat is.
Az említett titkosítás ellenére a homályosítási folyamat elég gyenge volt ahhoz TrendLabs meg tudták határozni a rosszindulatú program és a szerver közötti kommunikációhoz használt webszerver részleteit, beleértve a helyet.
Hogyan működik a ZNIU Dirty COW kártevő?
A működése meglehetősen egyszerű, és biztonsági szempontból lenyűgöző. Az alkalmazás letölti az aktuális eszközhöz szükséges hasznos terhet, amelyen fut, és kibontja azt egy fájlba. Ez a fájl tartalmazza a rosszindulatú program működéséhez szükséges összes szkript- vagy ELF-fájlt. Ezután virtuális dinamikusan csatolt megosztott objektumra (vDSO) ír, amely általában egy olyan mechanizmus, amely a felhasználói alkalmazásoknak (azaz nem root) teret biztosít a kernelen belüli munkához. Itt nincs SELinux limit, és itt történik meg igazán a Dirty COW "varázslata". Létrehoz egy "fordított shellt", ami leegyszerűsítve azt jelenti, hogy a gép (jelen esetben a telefon) parancsokat hajt végre az alkalmazásodnak, nem pedig fordítva. Ez lehetővé teszi a támadó számára, hogy hozzáférjen az eszközhöz, amit a ZNIU a SELinux javításával és egy hátsó ajtó gyökérhéj telepítésével tesz meg.
Szóval mit tehetek?
Valójában csak annyit tehet, hogy távol marad a Play Áruházban nem található alkalmazásoktól. A Google megerősítette TrendLabs hogy A Google Play Protect mostantól felismeri az alkalmazást. Ha eszközén 2016. decemberi vagy újabb biztonsági javítás található, akkor szintén teljes biztonságban van.
Forrás: TrendLabs