Dirty COW tika atrasts pagājušajā gadā, bet nekad netika izmantots operētājsistēmā Android, izņemot sakņu ierīces. tagad mēs redzam pirmo ļaunprātīgu tā izmantošanu. Iepazīstieties ar ZNIU.
Netīrā Govs (Netīra kopēšana uz rakstīšanas) vai CVE-2016-5195, ir 9 gadus veca Linux kļūda, kas tika atklāta pagājušā gada oktobrī. Tā ir viena no nopietnākajām kļūdām, kas jebkad atklāta Linux kodolā, un tagad savvaļā ir atrasta ļaunprogrammatūra ar nosaukumu ZNIU. Kļūda tika izlabota 2016. gada decembra drošības atjauninājumā, taču visas ierīces, kas to nav saņēmušas, ir neaizsargātas. Cik ierīču tas ir? Diezgan daudz.
Kā redzat iepriekš, patiesībā ir ievērojams skaits ierīču no Android 4.4 versijas, kad Google sāka veikt drošības ielāpus. Turklāt jebkura ierīce, kurā darbojas operētājsistēma Android 6.0 Marshmallow vai vecāka versija, faktiski tiks apdraudēta ja vien viņi nav saņēmuši drošības ielāpus pēc 2016. gada decembra, un ja vien minētie ielāpi nav pareizi vērsti pret kļūdu. Tā kā daudzi ražotāji nevērīgi izturas pret drošības atjauninājumiem, ir grūti teikt, ka lielākā daļa cilvēku patiešām ir aizsargāti. Analīze, ko veica
TrendLabs ir atklājis daudz informācijas par ZNIU.ZNIU — pirmā ļaunprogrammatūra, kas Android ierīcē izmanto Dirty COW
Vispirms noskaidrosim vienu lietu, ZNIU ir nē pirmais reģistrētais Dirty COW lietojums operētājsistēmā Android. Faktiski kāds lietotājs mūsu forumos izmantoja Dirty COW izmantošanu (DirtySanta būtībā ir tikai Dirty COW) lai atbloķētu LG V20 sāknēšanas ielādētāju. ZNIU ir tikai pirmais reģistrētais kļūdas lietojums, kas tiek izmantots ļaunprātīgiem nolūkiem. Iespējams, tas ir tāpēc, ka lietojumprogramma ir neticami sarežģīta. Šķiet, ka tas ir aktīvs 40 valstīs, un rakstīšanas laikā tajā bija vairāk nekā 5000 inficētu lietotāju. Tas maskējas pornogrāfijā un spēļu lietojumprogrammās, kas ir pieejamas vairāk nekā 1200 lietojumprogrammās.
Ko dara ļaunprogrammatūra ZNIU Dirty COW?
Pirmkārt, ZNIU Dirty COW ieviešana darbojas tikai ARM un X86 64 bitu arhitektūrā. Tas neizklausās pārāk slikti, jo lielākajai daļai 64 bitu arhitektūras flagmaņu parasti būs vismaz 2016. gada decembra drošības ielāps. tomēr jebkuras 32 bitu ierīcesvar būt arī uzņēmīgi uz lovyroot vai KingoRoot, ko izmanto divi no sešiem ZNIU sakņu komplektiem.
Bet ko dara ZNIU? Tas pārsvarā tiek parādīta kā ar pornogrāfisku programmu saistīta lietotne, taču to var atrast arī ar spēlēm saistītās lietojumprogrammās. Pēc instalēšanas tas pārbauda, vai nav ZNIU derīgās slodzes atjauninājuma. Pēc tam tas sāks privilēģiju eskalāciju, iegūstot root piekļuvi, apejot SELinux un uzstādot sistēmā aizmugures durvis turpmākiem attāliem uzbrukumiem.
Kad lietojumprogramma ir inicializēta un aizmugurējās durvis ir instalētas, tā sāk sūtīt informāciju par ierīci un mobilo sakaru operatoru atpakaļ uz serveri, kas atrodas kontinentālajā Ķīnā. Pēc tam tas sāk pārskaitīt naudu uz kontu, izmantojot pārvadātāja maksājumu pakalpojumu, bet tikai tad, ja inficētajam lietotājam ir Ķīnas tālruņa numurs. Ziņojumi, kas apstiprina darījumus, pēc tam tiek pārtverti un dzēsti. Lietotājiem ārpus Ķīnas tiks reģistrēti viņu dati un instalēta aizmugures durvis, taču netiks veikti maksājumi no sava konta. Paņemtā summa ir smieklīgi maza, lai izvairītos no brīdinājuma, līdzvērtīga 3 USD mēnesī. ZNIU izmanto root piekļuvi savām ar īsziņām saistītajām darbībām, jo, lai lietojumprogrammai vispār mijiedarbotos ar SMS, lietotājam parasti ir jāpiešķir piekļuve. Tas var inficēt arī citas ierīcē instalētās lietojumprogrammas. Visi sakari ir šifrēti, tostarp ierīcē lejupielādētās saknes komplekta derīgās slodzes.
Neskatoties uz minēto šifrēšanu, apmulsināšanas process bija pietiekami vājš TrendLabs varēja noteikt informāciju par tīmekļa serveri, tostarp atrašanās vietu, kas izmantota saziņai starp ļaunprātīgu programmatūru un serveri.
Kā darbojas ļaunprogrammatūra ZNIU Dirty COW?
Tas ir diezgan vienkārši, kā tas darbojas, un aizraujoši no drošības viedokļa. Lietojumprogramma lejupielādē lietderīgo slodzi, kas tai nepieciešama pašreizējai ierīcei, kurā tā darbojas, un izvelk to failā. Šajā failā ir visi skripti vai ELF faili, kas nepieciešami, lai ļaunprātīga programmatūra darbotos. Pēc tam tas raksta uz virtuālo dinamiski saistīto koplietoto objektu (vDSO), kas parasti ir mehānisms, kas nodrošina lietotāja lietojumprogrammām (ti, bez saknes) vietu darbam kodolā. Šeit nav SELinux ierobežojumu, un šeit patiešām notiek Dirty COW "maģija". Tas izveido "reverso apvalku", kas vienkāršā izteiksmē nozīmē, ka iekārta (šajā gadījumā jūsu tālrunis) izpilda komandas jūsu lietojumprogrammai, nevis otrādi. Tas ļauj uzbrucējam pēc tam piekļūt ierīcei, ko ZNIU dara, izlabojot SELinux un instalējot aizmugures durvju saknes apvalku.
Tātad, ko es varu darīt?
Patiešām, viss, ko varat darīt, ir palikt prom no lietojumprogrammām, kas nav Play veikalā. Google ir apstiprinājis TrendLabs ka Google Play Protect tagad atpazīs lietojumprogrammu. Ja jūsu ierīcei ir 2016. gada decembra vai jaunāks drošības ielāps, arī jūs esat pilnīgi drošībā.
Avots: TrendLabs