Dirty COW는 이제 ZNIU에 의해 Android에서 학대당하고 있습니다.

Xda 뉴스 개요Nov 15, 2023
click fraud protection

Dirty COW는 작년에 발견됐지만, 루팅 기기를 제외하고는 안드로이드에서는 사용한 적이 없습니다. 이제 우리는 그것의 첫 번째 악의적인 사용을 봅니다. ZNIU를 만나보세요.

더러운 소(Dirty Copy-On-Write) 또는 CVE-2016-5195,는 지난해 10월 발견된 9년 된 리눅스 버그다. 이는 Linux 커널 내에서 발견된 가장 심각한 버그 중 하나이며 현재 ZNIU라는 악성 코드가 야생에서 발견되었습니다. 이 버그는 2016년 12월 보안 업데이트에서 패치되었지만 이를 받지 못한 모든 장치는 취약합니다. 그 장치는 몇 개입니까? 꽤 많이.

위에서 볼 수 있듯이 실제로 Google이 보안 패치를 만들기 시작한 Android 4.4 이전 버전의 장치가 상당히 많습니다. 게다가 Android 6.0 Marshmallow 이하를 실행하는 모든 기기는 실제로 위험에 노출됩니다. 2016년 12월 이후에 보안 패치를 받지 않은 경우 해당 패치가 버그를 적절하게 대상으로 삼지 않는 한. 많은 제조업체가 보안 업데이트를 소홀히 하여 대부분의 사람들이 실제로 보호받고 있다고 말하기는 어렵습니다. 분석 트렌드랩스 ZNIU에 대한 많은 정보를 공개했습니다.

ZNIU - Android에서 Dirty COW를 사용하는 최초의 악성코드

먼저 한 가지 확실히 해두자면, ZNIU는 ~ 아니다 Android에서 최초로 Dirty COW 사용이 기록되었습니다. 실제로 우리 포럼의 한 사용자는 Dirty COW 익스플로잇을 사용했습니다(DirtySanta는 기본적으로 Dirty COW입니다). LG V20의 부트로더 잠금을 해제하려면. ZNIU는 악의적인 목적으로 사용되는 버그의 첫 번째 기록일 뿐입니다. 아마도 이는 애플리케이션이 엄청나게 복잡하기 때문일 것입니다. 이 글을 쓰는 시점을 기준으로 5000명 이상의 감염된 사용자가 있는 40개국에서 활동 중인 것으로 보입니다. 이는 포르노와 게임 애플리케이션으로 위장하며 1200개 이상의 애플리케이션에 존재합니다.

ZNIU Dirty COW 악성코드의 기능은 무엇입니까?

첫째, ZNIU의 Dirty COW 구현은 ARM 및 X86 64비트 아키텍처에서만 작동합니다. 64비트 아키텍처의 대부분의 주력 제품에는 일반적으로 최소한 2016년 12월 보안 패치가 있기 때문에 이는 그다지 나쁘지 않은 것 같습니다. 하지만, 모든 32비트 장치또한 감수성이 있을 수 있다 6개의 ZNIU 루트킷 중 2개가 사용하는 lovyroot 또는 KingoRoot입니다.

그런데 ZNIU는 무엇을 하나요? 그것 주로 포르노 관련 앱으로 표시되지만 게임 관련 애플리케이션에서도 다시 찾을 수 있습니다. 설치되면 ZNIU 페이로드에 대한 업데이트를 확인합니다. 그런 다음 권한 상승을 시작하여 루트 액세스 권한을 얻고 SELinux를 우회하고 향후 원격 공격을 위해 시스템에 백도어를 설치합니다.

애플리케이션이 초기화되고 백도어가 설치되면 장치 및 통신업체 정보를 중국 본토에 있는 서버로 다시 보내기 시작합니다. 이후 이동통신사의 결제 서비스를 통해 계좌로 돈을 이체하기 시작하고, 단, 감염된 사용자가 중국 전화번호를 가지고 있는 경우에만 해당됩니다.. 그런 다음 거래를 확인하는 메시지를 가로채서 삭제합니다. 중국 외부의 사용자는 데이터를 기록하고 백도어를 설치하지만 해당 계정에서 결제를 할 수는 없습니다. 예고를 피하기 위해 취한 금액은 한 달에 3달러에 해당하는 엄청나게 적습니다. ZNIU는 SMS 관련 작업에 루트 액세스를 활용합니다. SMS와 상호 작용하려면 일반적으로 응용 프로그램에 사용자가 액세스 권한을 부여해야 합니다. 또한 장치에 설치된 다른 응용 프로그램을 감염시킬 수도 있습니다. 장치에 다운로드된 루트킷 페이로드를 포함한 모든 통신은 암호화됩니다.

암호화에도 불구하고 난독화 프로세스는 열악하여 트렌드랩스 악성 코드와 서버 간의 통신에 사용되는 위치를 포함하여 웹 서버의 세부 정보를 확인할 수 있었습니다.

ZNIU Dirty COW 악성코드는 어떻게 작동하나요?

작동 방식은 매우 간단하며 보안 관점에서 보면 매력적입니다. 애플리케이션은 실행 중인 현재 장치에 필요한 페이로드를 다운로드하고 이를 파일로 추출합니다. 이 파일에는 악성코드가 작동하는 데 필요한 모든 스크립트 또는 ELF 파일이 포함되어 있습니다. 그런 다음 가상 vDSO(Dynamically Linked Shared Object)에 기록합니다. 이는 일반적으로 루트가 아닌 사용자 애플리케이션에 커널 내에서 작업할 수 있는 공간을 제공하기 위한 메커니즘입니다. 여기에는 SELinux 제한이 없으며 Dirty COW의 "마법"이 실제로 일어나는 곳입니다. 이는 "역방향 셸"을 생성합니다. 이는 간단히 말해서 컴퓨터(이 경우 휴대폰)가 반대 방향이 아닌 애플리케이션에 명령을 실행한다는 의미입니다. 이를 통해 공격자는 ZNIU가 SELinux를 패치하고 백도어 루트 셸을 설치하여 장치에 액세스할 수 있게 됩니다.

그래서 내가 무엇을 할 수 있니?

실제로 당신이 할 수 있는 일은 Play 스토어에 없는 애플리케이션을 멀리하는 것뿐입니다. Google은 다음을 확인했습니다. 트렌드랩스 저것 이제 Google Play Protect가 애플리케이션을 인식합니다.. 장치에 2016년 12월 보안 패치 이상이 설치되어 있으면 완전히 안전합니다.

출처: TrendLabs