Dirty COW กำลังถูกทำร้ายบน Android โดย ZNIU

พบ Dirty COW เมื่อปีที่แล้ว แต่ไม่เคยใช้งานบน Android ยกเว้นอุปกรณ์รูท ตอนนี้เราเห็นการใช้มันในทางที่ผิดครั้งแรก พบกับ ZNIU

วัวสกปรก (Dirty Copy-On-Write) หรือ CVE-2016-5195เป็นข้อบกพร่องของ Linux อายุ 9 ปีที่ถูกค้นพบในเดือนตุลาคมปีที่แล้ว นี่เป็นหนึ่งในข้อบกพร่องที่ร้ายแรงที่สุดที่เคยพบในเคอร์เนล Linux และตอนนี้พบมัลแวร์ชื่อ ZNIU ในป่า จุดบกพร่องนี้ได้รับการแก้ไขแล้วในการอัปเดตความปลอดภัยในเดือนธันวาคม 2559 แต่อุปกรณ์ใดๆ ที่ไม่ได้รับจุดบกพร่องจะมีช่องโหว่ มีกี่เครื่องเนี่ย? ค่อนข้างมาก.

ดังที่คุณเห็นข้างต้น จริงๆ แล้วมีอุปกรณ์จำนวนมากตั้งแต่ก่อน Android 4.4 เมื่อ Google เริ่มสร้างแพตช์รักษาความปลอดภัย ยิ่งไปกว่านั้น อุปกรณ์ใดๆ ที่ใช้ Android 6.0 Marshmallow หรือต่ำกว่าจะตกอยู่ในความเสี่ยงจริงๆ เว้นแต่จะได้รับแพตช์รักษาความปลอดภัยใดๆ ในช่วงเดือนธันวาคม 2559 และเว้นแต่แพตช์ดังกล่าวจะกำหนดเป้าหมายไปที่จุดบกพร่องอย่างเหมาะสม. ด้วยความประมาทเลินเล่อของผู้ผลิตหลายรายในการอัปเดตความปลอดภัย จึงยากที่จะบอกว่าคนส่วนใหญ่ได้รับการปกป้องจริงๆ บทวิเคราะห์โดย เทรนด์แล็บส์ ได้เปิดเผยข้อมูลมากมายเกี่ยวกับ ZNIU

ZNIU - มัลแวร์ตัวแรกที่ใช้ Dirty COW บน Android

ก่อนอื่นมาทำความเข้าใจกันก่อนว่า ZNIU คือ ไม่ การใช้งาน Dirty COW ที่บันทึกไว้ครั้งแรกบน Android ในความเป็นจริง ผู้ใช้ในฟอรัมของเราใช้การหาประโยชน์จาก Dirty COW (DirtySanta เป็นเพียง Dirty COW) เพื่อปลดล็อค bootloader ของ LG V20. ZNIU เป็นเพียงบันทึกการใช้งานครั้งแรกของจุดบกพร่องที่ถูกนำไปใช้เพื่อจุดประสงค์ที่เป็นอันตราย อาจเป็นเพราะแอปพลิเคชันมีความซับซ้อนอย่างไม่น่าเชื่อ ดูเหมือนว่าจะมีการใช้งานใน 40 ประเทศ โดยมีผู้ใช้งานที่ติดเชื้อมากกว่า 5,000 รายในขณะที่เขียนบทความนี้ มันปลอมตัวอยู่ในแอปพลิเคชั่นลามกอนาจารและเกมซึ่งมีอยู่ในแอปพลิเคชั่นมากกว่า 1,200 รายการ

มัลแวร์ ZNIU Dirty COW ทำหน้าที่อะไร?

ประการแรก การใช้งาน Dirty COW ของ ZNIU ใช้งานได้กับสถาปัตยกรรม ARM และ X86 64 บิตเท่านั้น ฟังดูก็ไม่ได้แย่นัก เนื่องจากเรือธงส่วนใหญ่ที่ใช้สถาปัตยกรรม 64 บิตมักจะติดตั้งแพตช์รักษาความปลอดภัยในเดือนธันวาคม 2559 เป็นอย่างน้อย อย่างไรก็ตาม, อุปกรณ์ 32 บิตใด ๆอาจอ่อนแอได้เช่นกัน ไปยัง lovyroot หรือ KingoRoot ซึ่งรูทคิท ZNIU สองในหกชุดใช้

แต่ ZNIU ทำอะไรได้บ้าง? มัน ส่วนใหญ่ ปรากฏเป็นแอปที่เกี่ยวข้องกับสื่อลามก แต่ก็สามารถพบได้ในแอปพลิเคชันที่เกี่ยวข้องกับเกมอีกครั้ง เมื่อติดตั้งแล้ว จะตรวจสอบการอัปเดตสำหรับเพย์โหลด ZNIU จากนั้นจะเริ่มการยกระดับสิทธิ์ เข้าถึงรูท ข้าม SELinux และติดตั้งแบ็คดอร์ในระบบสำหรับการโจมตีระยะไกลในอนาคต

เมื่อแอปพลิเคชันเริ่มต้นและติดตั้งแบ็คดอร์แล้ว จะเริ่มส่งข้อมูลอุปกรณ์และผู้ให้บริการกลับไปยังเซิร์ฟเวอร์ที่ตั้งอยู่ในจีนแผ่นดินใหญ่ จากนั้นจะเริ่มโอนเงินเข้าบัญชีผ่านบริการชำระเงินของผู้ให้บริการ แต่เฉพาะในกรณีที่ผู้ใช้ที่ติดเชื้อมีหมายเลขโทรศัพท์จีนเท่านั้น. ข้อความที่ยืนยันธุรกรรมจะถูกดักจับและลบทิ้ง ผู้ใช้จากนอกประเทศจีนจะถูกบันทึกข้อมูลและติดตั้งแบ็คดอร์ แต่จะไม่ได้รับการชำระเงินจากบัญชีของพวกเขา จำนวนเงินที่ได้รับนั้นน้อยมากเพื่อหลีกเลี่ยงการแจ้งเตือน ซึ่งเทียบเท่ากับ 3 ดอลลาร์ต่อเดือน ZNIU ใช้ประโยชน์จากการเข้าถึงรูทสำหรับการดำเนินการที่เกี่ยวข้องกับ SMS เนื่องจากในการโต้ตอบกับ SMS เลย โดยปกติแล้วแอปพลิเคชันจะต้องได้รับสิทธิ์ในการเข้าถึงจากผู้ใช้ นอกจากนี้ยังสามารถแพร่เชื้อไปยังแอปพลิเคชันอื่นๆ ที่ติดตั้งบนอุปกรณ์ได้ การสื่อสารทั้งหมดได้รับการเข้ารหัส รวมถึงเพย์โหลดรูทคิทที่ดาวน์โหลดบนอุปกรณ์ด้วย

แม้จะกล่าวว่าการเข้ารหัส แต่กระบวนการทำให้สับสนนั้นไม่ดีพอ เทรนด์แล็บส์ สามารถระบุรายละเอียดของเว็บเซิร์ฟเวอร์ รวมถึงตำแหน่งที่ใช้ในการสื่อสารระหว่างมัลแวร์และเซิร์ฟเวอร์ได้

มัลแวร์ ZNIU Dirty COW ทำงานอย่างไร

วิธีการทำงานค่อนข้างง่ายและน่าทึ่งเมื่อพิจารณาจากมุมมองด้านความปลอดภัย แอปพลิเคชันจะดาวน์โหลดเพย์โหลดที่จำเป็นสำหรับอุปกรณ์ปัจจุบันที่แอปพลิเคชันทำงานอยู่ และแยกออกเป็นไฟล์ ไฟล์นี้มีสคริปต์หรือไฟล์ ELF ทั้งหมดที่จำเป็นสำหรับการทำงานของมัลแวร์ จากนั้นจะเขียนไปยัง Virtual Dynamically Linked Shared Object (vDSO) ซึ่งโดยปกติจะเป็นกลไกในการให้พื้นที่แก่แอปพลิเคชันผู้ใช้ (เช่น ไม่ใช่รูท) เพื่อทำงานภายในเคอร์เนล ที่นี่ไม่มีการจำกัด SELinux และนี่คือจุดที่ "ความมหัศจรรย์" ของ Dirty COW เกิดขึ้นจริงๆ โดยจะสร้าง "reverse shell" ซึ่งพูดง่ายๆ ก็คือเครื่อง (ในกรณีนี้คือโทรศัพท์ของคุณ) กำลังดำเนินการคำสั่งไปยังแอปพลิเคชันของคุณ แทนที่จะเป็นวิธีอื่น ซึ่งช่วยให้ผู้โจมตีสามารถเข้าถึงอุปกรณ์ได้ ซึ่ง ZNIU ทำโดยการแพตช์ SELinux และติดตั้งรูทเชลล์แบ็คดอร์

แล้วฉันจะทำอย่างไร?

จริงๆ แล้ว สิ่งที่คุณทำได้คืออยู่ห่างจากแอปพลิเคชันที่ไม่ได้อยู่ใน Play Store Google ได้ยืนยันแล้วว่า เทรนด์แล็บส์ ที่ Google Play Protect จะจดจำแอปพลิเคชันนี้แล้ว. หากอุปกรณ์ของคุณมีแพตช์รักษาความปลอดภัยเดือนธันวาคม 2559 หรือใหม่กว่า คุณก็ปลอดภัยอย่างสมบูรณ์เช่นกัน


ที่มา: TrendLabs