Dirty COW נמצא בשנה שעברה, אך מעולם לא נעשה בו שימוש באנדרואיד למעט מכשירי השתרשות. כעת אנו רואים את השימוש הזדוני הראשון בו. הכירו את ZNIU.
פרה מלוכלכת (Copy-On-Write מלוכלך), או CVE-2016-5195, הוא באג לינוקס בן 9 שנים שהתגלה באוקטובר בשנה שעברה. זהו אחד הבאגים החמורים ביותר שאי פעם נמצאו בתוך ליבת לינוקס, וכעת נמצאו תוכנות זדוניות בשם ZNIU בטבע. הבאג תוקן בעדכון האבטחה של דצמבר 2016, אך כל המכשירים שלא קיבלו אותו פגיעים. כמה מכשירים זה? די הרבה.
כפי שניתן לראות לעיל, יש למעשה מספר לא מבוטל של מכשירים מגרסה קדם-אנדרואיד 4.4, כאשר גוגל החלה לייצר תיקוני אבטחה. יתרה מכך, כל מכשיר עם אנדרואיד 6.0 מרשמלו ומטה, למעשה עומד בסיכון אלא אם כן הם קיבלו תיקוני אבטחה כלשהם לאחר דצמבר 2016, אלא אם כן התיקונים האמורים מכוונים כראוי לבאג. עם התרשלותם של יצרנים רבים בעדכוני אבטחה, קשה לומר שרוב האנשים מוגנים בפועל. ניתוח של TrendLabs חשף מידע רב על ZNIU.
ZNIU - התוכנה הזדונית הראשונה באמצעות Dirty COW באנדרואיד
ראשית בואו נבהיר דבר אחד, ZNIU הוא לֹא השימוש המתועד הראשון ב- Dirty COW באנדרואיד. למעשה, משתמש בפורומים שלנו השתמש בניצול Dirty COW (DirtySanta הוא בעצם רק Dirty COW)
מה עושה תוכנת זדונית ZNIU Dirty COW?
ראשית, היישום Dirty COW של ZNIU עובד רק על ארכיטקטורת ARM ו-X86 64-Bit. זה לא נשמע רע, מכיוון שלרוב ספינות הדגל בארכיטקטורת 64 סיביות בדרך כלל יהיה תיקון האבטחה של דצמבר 2016 לפחות. למרות זאת, כל מכשירי 32 סיביותעשוי להיות גם רגיש ל-lovyroot או KingoRoot, שבהם משתמשים שניים מתוך שש Rootkits של ZNIU.
אבל מה עושה ZNIU? זה בעיקר מופיעה כאפליקציה הקשורה לפורנוגרפיה, אך שוב ניתן למצוא אותה גם ביישומים הקשורים למשחקים. לאחר ההתקנה, הוא מחפש עדכון עבור מטען ה-ZNIU. לאחר מכן הוא יתחיל בהסלמה של הרשאות, יקבל גישת שורש, עוקף את SELinux ויתקין דלת אחורית במערכת עבור התקפות מרוחקות עתידיות.
לאחר אתחול היישום והדלת האחורית מותקנת, הוא מתחיל לשלוח מידע על המכשיר והספק בחזרה לשרת הממוקם ביבשת סין. לאחר מכן הוא מתחיל להעביר כסף לחשבון באמצעות שירות התשלומים של הספק, אבל רק אם למשתמש שנדבק יש מספר טלפון סיני. לאחר מכן, ההודעות המאשרות את העסקאות יורטו ונמחקות. משתמשים מחוץ לסין ירשמו את הנתונים שלהם ויתקינו דלת אחורית, אך לא יבוצעו תשלומים מחשבונם. הסכום שנלקח קטן עד כדי גיחוך כדי להימנע מהודעה מוקדמת, שווה ערך ל-3 דולר לחודש. ZNIU ממנפת גישת שורש לפעולות הקשורות ל-SMS, שכן כדי לקיים אינטראקציה עם SMS, יישום בדרך כלל יצטרך לקבל גישה על ידי המשתמש. זה יכול גם להדביק אפליקציות אחרות המותקנות במכשיר. כל התקשורת מוצפנת, כולל עומסי ה-rootkit שהורדו במכשיר.
למרות ההצפנה האמורה, תהליך הערפול היה גרוע מספיק TrendLabs הצליחו לקבוע את הפרטים של שרת האינטרנט, כולל מיקום, המשמש לתקשורת בין התוכנה הזדונית לשרת.
כיצד פועל תוכנת זדונית ZNIU Dirty COW?
זה די פשוט איך זה עובד, ומרתק מנקודת מבט אבטחה. האפליקציה מורידה את המטען שהוא צריך עבור המכשיר הנוכחי שבו הוא פועל ומחלצת אותו לקובץ. קובץ זה מכיל את כל קבצי הסקריפט או ה-ELF הדרושים כדי שהתוכנה הזדונית תפעל. לאחר מכן הוא כותב ל-Virtually Dynamically Linked Shared Object (vDSO), שהוא בדרך כלל מנגנון לתת ליישומי משתמש (כלומר, ללא שורש) מקום לעבוד בתוך הליבה. אין כאן מגבלה של SELinux, וכאן באמת מתרחש ה"קסם" של Dirty COW. זה יוצר "קליפה הפוכה", שבמונחים פשוטים אומר שהמכונה (במקרה זה, הטלפון שלך) מבצעת פקודות לאפליקציה שלך במקום להיפך. זה מאפשר לתוקף לקבל גישה למכשיר, מה ש-ZNIU עושה על ידי תיקון SELinux והתקנת מעטפת שורש בדלת אחורית.
אז מה אני יכול לעשות?
באמת, כל מה שאתה יכול לעשות הוא להתרחק מיישומים שאינם בחנות Play. גוגל אישרה זאת TrendLabs זֶה Google Play Protect יזהה כעת את האפליקציה. אם למכשיר שלך יש את תיקון האבטחה של דצמבר 2016 ואילך, אתה גם בטוח לחלוטין.
מקור: TrendLabs