„Dirty COW“ buvo rasta praėjusiais metais, tačiau niekada nebuvo naudojama „Android“, išskyrus įsišaknijimo įrenginius. dabar matome pirmąjį piktavališką jo panaudojimą. Susipažinkite – ZNIU.
Nešvari karvė (Dirty Copy-On-Write) arba CVE-2016-5195, yra 9 metų senumo „Linux“ klaida, kuri buvo aptikta praėjusių metų spalį. Tai viena rimčiausių klaidų, kada nors rasta „Linux“ branduolyje, o dabar gamtoje buvo rasta kenkėjiška programa, pavadinta ZNIU. Klaida buvo pataisyta 2016 m. gruodžio mėn. saugos naujinime, tačiau visi įrenginiai, kurie jo negavo, yra pažeidžiami. Kiek tai įrenginių? Daugoka.
Kaip matote aukščiau, iš tikrųjų yra daug įrenginių iš ankstesnės versijos „Android 4.4“, kai „Google“ pradėjo kurti saugos pataisas. Be to, bet kuriam įrenginiui, kuriame veikia „Android 6.0 Marshmallow“ ar senesnė versija, iš tikrųjų gresia pavojus nebent jie gavo jokių saugos pataisų po 2016 m. gruodžio mėn. ir nebent minėti pataisymai tinkamai nukreipti į klaidą. Dėl daugelio gamintojų aplaidumo saugos naujinimams sunku pasakyti, kad dauguma žmonių iš tikrųjų yra apsaugoti. Analizė, kurią pateikė
ZNIU – pirmoji kenkėjiška programa, naudojanti „Dirty COW“ sistemoje „Android“.
Pirmiausia išsiaiškinkime vieną dalyką – ZNIU yra ne pirmasis įrašytas „Dirty COW“ naudojimas „Android“. Tiesą sakant, vartotojas mūsų forumuose naudojo „Dirty COW“ išnaudojimą („DirtySanta“ iš esmės yra tik „Dirty COW“) norėdami atrakinti LG V20 įkrovos įkroviklį. ZNIU yra tik pirmasis užregistruotas klaidos panaudojimas piktavališkais tikslais. Tikėtina, kad taip yra todėl, kad programa yra neįtikėtinai sudėtinga. Atrodo, kad ji veikia 40 šalių, o rašymo metu yra daugiau nei 5000 užkrėstų vartotojų. Jis užmaskuotas pornografijos ir žaidimų programomis, kurios yra daugiau nei 1200 programų.
Ką daro kenkėjiška programa ZNIU Dirty COW?
Pirma, ZNIU „Dirty COW“ diegimas veikia tik ARM ir X86 64 bitų architektūroje. Tai neskamba labai blogai, nes dauguma 64 bitų architektūros flagmanų paprastai turės bent 2016 m. gruodžio mėn. saugos pataisą. Tačiau bet kokius 32 bitų įrenginiustaip pat gali būti jautrūs į lovyroot arba KingoRoot, kuriuos naudoja du iš šešių ZNIU rootkit.
Bet ką daro ZNIU? Tai daugiausia rodoma kaip su pornografija susijusi programa, bet taip pat galima rasti su žaidimais susijusiose programose. Įdiegus jis patikrina, ar nėra ZNIU naudingojo krovinio naujinimo. Tada jis pradės privilegijų eskalavimą, įgydamas root prieigą, apeidamas SELinux ir įdiegs sistemoje užpakalines duris būsimoms nuotolinėms atakoms.
Kai programa inicijuojama ir įdiegtos užpakalinės durys, ji pradeda siųsti įrenginio ir operatoriaus informaciją atgal į serverį, esantį žemyninėje Kinijoje. Tada jis pradeda pervesti pinigus į sąskaitą per vežėjo mokėjimo paslaugą, bet tik tuo atveju, jei užkrėstas vartotojas turi Kinijos telefono numerį. Tada pranešimai, patvirtinantys operacijas, perimami ir ištrinami. Naudotojų iš ne Kinijos duomenys bus registruojami ir įdiegtos užpakalinės durys, tačiau mokėjimai nebus atliekami iš savo sąskaitos. Paimta suma yra juokingai maža, kad būtų išvengta įspėjimo, lygi 3 USD per mėnesį. ZNIU naudoja pagrindinę prieigą savo veiksmams, susijusiems su SMS, nes norint iš viso bendrauti su SMS, programai paprastai turi būti suteikta vartotojo prieiga. Jis taip pat gali užkrėsti kitas įrenginyje įdiegtas programas. Visi ryšiai yra užšifruoti, įskaitant į įrenginį atsisiųstą „rootkit“ naudingąją apkrovą.
Nepaisant minėto šifravimo, užmaskavimo procesas buvo pakankamai prastas TrendLabs galėjo nustatyti žiniatinklio serverio informaciją, įskaitant vietą, naudojamą ryšiui tarp kenkėjiškos programos ir serverio.
Kaip veikia kenkėjiška programa ZNIU Dirty COW?
Tai gana paprasta, kaip tai veikia, ir žavi saugumo požiūriu. Programa atsisiunčia naudingą apkrovą, kurios jai reikia dabartiniam įrenginiui, kuriame ji veikia, ir ištraukia jį į failą. Šiame faile yra visi scenarijų arba ELF failai, kurių reikia, kad kenkėjiška programa veiktų. Tada jis rašo į virtualų dinamiškai susietą bendrinamą objektą (vDSO), kuris paprastai yra mechanizmas, suteikiantis vartotojo programoms (ty ne šakninėms) erdvės dirbti branduolyje. Čia nėra SELinux apribojimo, ir čia iš tikrųjų vyksta Dirty COW „magija“. Tai sukuria „atvirkštinį apvalkalą“, o tai paprastai reiškia, kad mašina (šiuo atveju jūsų telefonas) vykdo komandas jūsų programai, o ne atvirkščiai. Tai leidžia užpuolikui gauti prieigą prie įrenginio, ką ZNIU daro pataisydamas SELinux ir įdiegdamas galinių durų šakninį apvalkalą.
Taigi, ką aš galiu padaryti?
Tikrai viskas, ką galite padaryti, tai likti nuošalyje nuo programų, kurios nėra „Play“ parduotuvėje. „Google“ patvirtino TrendLabs kad „Google Play Protect“ dabar atpažins programą. Jei jūsų įrenginyje yra 2016 m. gruodžio mėn. ar naujesnė saugos pataisa, taip pat esate visiškai saugūs.
Šaltinis: TrendLabs