Dirty COW bol nájdený minulý rok, ale nikdy nebol použitý v systéme Android s výnimkou zariadení na rootovanie. teraz vidíme prvé jeho zlomyseľné použitie. Zoznámte sa so ZNIU.
Špinavá KRAVA (Dirty Copy-On-Write), alebo CVE-2016-5195, je 9-ročná chyba Linuxu, ktorá bola objavená v októbri minulého roka. Je to jedna z najzávažnejších chýb, aké sa kedy našli v jadre Linuxu, a teraz bol vo voľnej prírode nájdený malvér s názvom ZNIU. Chyba bola opravená v aktualizácii zabezpečenia z decembra 2016, ale všetky zariadenia, ktoré ju nedostali, sú zraniteľné. Koľko je to zariadení? Pomerne veľa.
Ako môžete vidieť vyššie, v skutočnosti existuje značný počet zariadení z verzie pred Androidom 4.4, keď Google začal robiť bezpečnostné záplaty. A čo viac, každé zariadenie so systémom Android 6.0 Marshmallow alebo nižším bude skutočne ohrozené pokiaľ nedostali žiadne bezpečnostné záplaty po decembri 2016, a pokiaľ uvedené záplaty správne nezacielili na chybu. S nedbanlivosťou mnohých výrobcov k bezpečnostným aktualizáciám je ťažké povedať, že väčšina ľudí je skutočne chránená. Analýza od
ZNIU – Prvý malvér využívajúci Dirty COW v systéme Android
Najprv si vyjasnime jednu vec, ZNIU je nie prvé zaznamenané použitie Dirty COW v systéme Android. V skutočnosti používateľ na našich fórach použil exploit Dirty COW (DirtySanta je v podstate len Dirty COW) na odomknutie bootloaderu LG V20. ZNIU je len prvé zaznamenané použitie chyby, ktorá bola použitá na škodlivé účely. Je to pravdepodobne preto, že aplikácia je neuveriteľne zložitá. Zdá sa, že je aktívny v 40 krajinách s viac ako 5 000 infikovanými používateľmi v čase písania tohto článku. Maskuje sa v pornografických a herných aplikáciách, ktoré sú prítomné vo viac ako 1200 aplikáciách.
Čo robí malvér ZNIU Dirty COW?
Po prvé, implementácia Dirty COW od ZNIU funguje iba na 64-bitovej architektúre ARM a X86. To neznie príliš zle, pretože väčšina vlajkových lodí na 64-bitovej architektúre bude mať zvyčajne bezpečnostnú opravu z decembra 2016. však akékoľvek 32-bitové zariadeniamôže byť tiež náchylný na lovyroot alebo KingoRoot, ktoré používajú dva zo šiestich rootkitov ZNIU.
Čo však robí ZNIU? to väčšinou sa javí ako aplikácia súvisiaca s pornografiou, ale opäť ju možno nájsť aj v aplikáciách súvisiacich s hrami. Po inštalácii skontroluje aktualizáciu užitočného zaťaženia ZNIU. Potom začne eskaláciu privilégií, získa root prístup, obíde SELinux a nainštaluje zadné vrátka do systému pre budúce vzdialené útoky.
Po inicializácii aplikácie a inštalácii zadného vrátka začne odosielať informácie o zariadení a operátorovi späť na server nachádzajúci sa v pevninskej Číne. Potom začne prevádzať peniaze na účet prostredníctvom platobnej služby dopravcu, ale iba ak má infikovaný používateľ čínske telefónne číslo. Správy potvrdzujúce transakcie sa potom zachytia a odstránia. Používatelia z krajín mimo Číny budú mať svoje údaje zaznamenané a nainštalované zadné vrátka, ale nebudú mať platby z ich účtu. Prijatá suma je smiešne malá, aby sme sa vyhli upozorneniu, ekvivalent 3 USD mesačne. ZNIU využíva root prístup pre svoje akcie súvisiace s SMS, pretože na vôbec interakciu so SMS by aplikácii normálne musel udeliť prístup používateľ. Môže tiež infikovať ďalšie aplikácie nainštalované v zariadení. Všetka komunikácia je šifrovaná, vrátane obsahu rootkitu stiahnutého do zariadenia.
Napriek uvedenému šifrovaniu bol proces zahmlievania dosť slabý TrendLabs boli schopní určiť podrobnosti o webovom serveri, vrátane polohy, ktorý sa používa na komunikáciu medzi malvérom a serverom.
Ako funguje malvér ZNIU Dirty COW?
Je to pomerne jednoduché, ako to funguje, a fascinujúce z hľadiska bezpečnosti. Aplikácia stiahne užitočné zaťaženie, ktoré potrebuje pre aktuálne zariadenie, na ktorom beží, a rozbalí ho do súboru. Tento súbor obsahuje všetky skripty alebo súbory ELF potrebné na fungovanie malvéru. Potom zapíše do virtuálneho dynamicky prepojeného zdieľaného objektu (vDSO), čo je zvyčajne mechanizmus poskytujúci užívateľským aplikáciám (tj iným ako root) priestor na prácu v jadre. Neexistuje tu žiadny limit SELinuxu a tu sa skutočne odohráva „kúzlo“ Dirty COW. Vytvára „obrátený shell“, čo v jednoduchosti znamená, že stroj (v tomto prípade váš telefón) vykonáva príkazy pre vašu aplikáciu a nie naopak. To umožňuje útočníkovi získať prístup k zariadeniu, čo robí ZNIU opravou SELinuxu a inštaláciou koreňového shellu backdoor.
Tak čo mám robiť?
Naozaj, všetko, čo môžete urobiť, je držať sa ďalej od aplikácií, ktoré nie sú v Obchode Play. Google to potvrdil TrendLabs že Google Play Protect teraz rozpozná aplikáciu. Ak má vaše zariadenie bezpečnostnú opravu z decembra 2016 alebo novšiu, ste tiež úplne v bezpečí.
Zdroj: TrendLabs