Dirty COW je bil najden lani, vendar ni bil nikoli uporabljen v Androidu, razen za naprave za rootanje. zdaj vidimo prvo zlonamerno uporabo. Spoznajte ZNIU.
Umazana KRAVA (Dirty Copy-On-Write) ali CVE-2016-5195, je 9 let stara napaka Linuxa, ki je bila odkrita oktobra lani. Gre za enega najresnejših hroščev, kar jih je bilo kdaj odkritih v jedru Linuxa, zdaj pa je zlonamerna programska oprema, imenovana ZNIU, najdena v naravi. Napaka je bila odpravljena v varnostni posodobitvi decembra 2016, vendar so vse naprave, ki je niso prejele, ranljive. Koliko naprav je to? Kar precej.
Kot lahko vidite zgoraj, dejansko obstaja precejšnje število naprav iz obdobja pred Androidom 4.4, ko je Google začel izdelovati varnostne popravke. Še več, vsaka naprava s sistemom Android 6.0 Marshmallow ali starejšim bo dejansko ogrožena razen če so decembra 2016 prejeli kakršne koli varnostne popravke, in razen če so omenjeni popravki pravilno ciljali na hrošča. Zaradi malomarnosti številnih proizvajalcev do varnostnih posodobitev je težko reči, da je večina ljudi dejansko zaščitena. Analiza avtorja
TrendLabs je razkril veliko informacij o ZNIU.ZNIU - Prva zlonamerna programska oprema, ki uporablja Dirty COW v sistemu Android
Najprej si razjasnimo eno stvar, ZNIU je ne prva zabeležena uporaba igre Dirty COW v sistemu Android. Pravzaprav je uporabnik na naših forumih uporabil izkoriščanje Dirty COW (DirtySanta je v bistvu samo Dirty COW) za odklepanje zagonskega nalagalnika LG V20. ZNIU je le prva zabeležena uporaba hrošča v zlonamerni namen. To je verjetno zato, ker je aplikacija neverjetno zapletena. Zdi se, da je aktiven v 40 državah z več kot 5000 okuženimi uporabniki v času pisanja. Preobleka se v pornografske in igralne aplikacije, prisotne v več kot 1200 aplikacijah.
Kaj počne zlonamerna programska oprema ZNIU Dirty COW?
Prvič, implementacija Dirty COW ZNIU deluje samo na 64-bitni arhitekturi ARM in X86. To se ne sliši tako slabo, saj ima večina vodilnih na 64-bitni arhitekturi običajno vsaj varnostni popravek iz decembra 2016. vendar vse 32-bitne napravelahko tudi dovzetni na lovyroot ali KingoRoot, ki ju uporabljata dva od šestih rootkitov ZNIU.
Toda kaj počne ZNIU? To večinoma se pojavlja kot aplikacija, povezana s pornografijo, vendar jo je mogoče najti tudi v aplikacijah, povezanih z igrami. Ko je nameščen, preveri, ali je na voljo posodobitev za tovor ZNIU. Nato bo začel stopnjevati privilegije, pridobiti korenski dostop, obiti SELinux in namestiti stranska vrata v sistem za prihodnje oddaljene napade.
Ko se aplikacija inicializira in so zadnja vrata nameščena, začne pošiljati podatke o napravi in operaterju nazaj na strežnik, ki se nahaja na celinski Kitajski. Nato začne nakazovati denar na račun prek operaterjeve plačilne storitve, vendar le, če ima okuženi uporabnik kitajsko telefonsko številko. Sporočila, ki potrjujejo transakcije, se nato prestrežejo in izbrišejo. Uporabniki izven Kitajske bodo zabeležili svoje podatke in namestili stranska vrata, vendar ne bodo imeli plačil iz svojega računa. Prejeti znesek je smešno majhen, da bi se izognili obvestilu, kar ustreza 3 USD na mesec. ZNIU izkorišča korenski dostop za svoja dejanja, povezana s SMS-ji, saj mora uporabnik za sploh interakcijo s SMS-om aplikaciji odobriti dostop. Prav tako lahko okuži druge aplikacije, nameščene v napravi. Vsa komunikacija je šifrirana, vključno s koristnimi vsebinami rootkita, prenesenimi v napravo.
Kljub omenjenemu šifriranju je bil postopek zamegljevanja dovolj slab, da TrendLabs so lahko določili podrobnosti spletnega strežnika, vključno z lokacijo, ki se uporablja za komunikacijo med zlonamerno programsko opremo in strežnikom.
Kako deluje zlonamerna programska oprema ZNIU Dirty COW?
Deluje dokaj preprosto in fascinantno z varnostnega vidika. Aplikacija prenese koristni tovor, ki ga potrebuje za trenutno napravo, na kateri deluje, in ga ekstrahira v datoteko. Ta datoteka vsebuje vse skripte ali datoteke ELF, potrebne za delovanje zlonamerne programske opreme. Nato piše v navidezni dinamično povezan objekt v skupni rabi (vDSO), ki je običajno mehanizem, ki uporabniškim aplikacijam (tj. nekorenskim) daje prostor za delo znotraj jedra. Tukaj ni omejitev SELinuxa in tukaj se resnično zgodi "čarovnija" Dirty COW. Ustvari "obratno lupino", kar preprosto povedano pomeni, da naprava (v tem primeru vaš telefon) izvaja ukaze vaši aplikaciji namesto obratno. To napadalcu omogoči dostop do naprave, kar ZNIU stori tako, da popravi SELinux in namesti korensko lupino za zakulisna vrata.
Torej, kaj lahko storim?
Vse, kar lahko storite, je, da se izogibate aplikacijam, ki niso v Trgovini Play. Google je potrdil, da TrendLabs to Google Play Protect bo zdaj prepoznal aplikacijo. Če ima vaša naprava varnostni popravek iz decembra 2016 ali novejši, ste tudi popolnoma varni.
Vir: TrendLabs