Dirty COW geçen yıl bulundu ancak rooting cihazları dışında Android'de hiç kullanılmadı. şimdi bunun ilk kötü niyetli kullanımını görüyoruz. ZNIU'yla tanışın.
Kirli İNEK (Kirli Yazma Üzerine Kopyalama) veya CVE-2016-5195, geçen yılın Ekim ayında keşfedilen 9 yıllık bir Linux hatasıdır. Bu, Linux çekirdeğinde şimdiye kadar bulunmuş en ciddi hatalardan biri ve şimdi de ZNIU adlı kötü amaçlı yazılım ortalıkta bulundu. Hata, Aralık 2016 güvenlik güncellemesinde düzeltildi, ancak bunu almayan tüm cihazlar savunmasız durumda. Bu kaç cihaz? Bayağı çok.
Yukarıda görebileceğiniz gibi, aslında Google'ın güvenlik yamaları oluşturmaya başladığı Android 4.4 öncesinden kalma oldukça fazla sayıda cihaz var. Dahası, Android 6.0 Marshmallow veya daha düşük sürüme sahip tüm cihazlar aslında risk altında olacak Aralık 2016'dan sonra herhangi bir güvenlik yaması almadıkları sürece, ve söz konusu yamalar hatayı uygun şekilde hedeflemediği sürece. Pek çok üreticinin güvenlik güncellemelerini ihmal etmesi nedeniyle çoğu insanın gerçekten korunduğunu söylemek zor. Tarafından yapılan bir analiz
ZNIU - Android'de Dirty COW kullanan İlk Kötü Amaçlı Yazılım
Öncelikle bir şeyi açıklığa kavuşturalım: ZNIU Olumsuz Dirty COW'un Android'de kaydedilen ilk kullanımı. Aslında, forumlarımızdaki bir kullanıcı Dirty COW istismarını kullandı (DirtySanta aslında sadece Dirty COW'dur) LG V20'nin önyükleyicisinin kilidini açmak için. ZNIU, hatanın kötü amaçlı bir amaçla kullanıldığı kaydedilen yalnızca ilk kullanımdır. Bunun nedeni muhtemelen uygulamanın inanılmaz derecede karmaşık olmasıdır. Bu yazının yazıldığı sırada 5000'den fazla enfekte kullanıcıyla 40 ülkede aktif görünüyor. 1200'den fazla uygulamada kendisini pornografi ve oyun uygulamalarında gizlemektedir.
ZNIU Dirty COW kötü amaçlı yazılımı ne yapar?
İlk olarak, ZNIU'nun Dirty COW uygulaması yalnızca ARM ve X86 64-Bit mimarisinde çalışır. 64-Bit mimarisine sahip çoğu amiral gemisi genellikle en azından Aralık 2016 güvenlik yamasına sahip olacağından bu kulağa çok da kötü gelmiyor. Fakat, herhangi bir 32-Bit cihazayrıca duyarlı olabilir altı ZNIU rootkit'inden ikisinin kullandığı lovyroot veya KingoRoot'a.
Peki ZNIU ne yapıyor? BT çoğunlukla pornografiyle ilgili bir uygulama olarak görünüyor, ancak yine oyunla ilgili uygulamalarda da bulunabilir. Kurulduktan sonra ZNIU verisi için bir güncelleme olup olmadığını kontrol eder. Daha sonra ayrıcalık yükseltmeye başlayacak, root erişimi kazanacak, SELinux'u atlayacak ve gelecekteki uzaktan saldırılar için sisteme bir arka kapı kuracak.
Uygulama başlatıldıktan ve arka kapı yüklendikten sonra cihaz ve operatör bilgilerini Çin ana karasında bulunan bir sunucuya geri göndermeye başlar. Daha sonra operatörün ödeme hizmeti aracılığıyla bir hesaba para aktarmaya başlar. ancak yalnızca virüs bulaşan kullanıcının Çin telefon numarasına sahip olması durumunda. İşlemleri onaylayan mesajlar daha sonra ele geçirilir ve silinir. Çin dışından gelen kullanıcıların verileri günlüğe kaydedilecek ve bir arka kapı kurulacak ancak hesaplarından ödeme yapılamayacak. Alınan miktar, bildirimi önlemek için gülünç derecede küçük, ayda 3 dolara eşdeğer. ZNIU, SMS ile etkileşimde bulunmak için normalde bir uygulamaya kullanıcı tarafından erişim izni verilmesi gerektiğinden, SMS ile ilgili eylemleri için kök erişiminden yararlanır. Ayrıca cihazda yüklü olan diğer uygulamalara da bulaşabilir. Cihaza indirilen rootkit verileri de dahil olmak üzere tüm iletişimler şifrelenir.
Bahsedilen şifrelemeye rağmen gizleme süreci yeterince zayıftı TrendLab'lar Kötü amaçlı yazılım ile sunucu arasındaki iletişim için kullanılan web sunucusunun konum da dahil olmak üzere ayrıntılarını belirlemeyi başardık.
ZNIU Dirty COW kötü amaçlı yazılımı nasıl çalışır?
Nasıl çalıştığı oldukça basit ve güvenlik açısından büyüleyici. Uygulama, üzerinde çalıştığı mevcut cihaz için ihtiyaç duyduğu yükü indirir ve bunu bir dosyaya çıkarır. Bu dosya, kötü amaçlı yazılımın çalışması için gereken tüm komut dosyası veya ELF dosyalarını içerir. Daha sonra sanal Dinamik Olarak Bağlantılı Paylaşılan Nesneye (vDSO) yazar; bu genellikle kullanıcı uygulamalarına (yani kök olmayan) çekirdek içinde çalışacak bir alan veren bir mekanizmadır. Burada SELinux sınırı yoktur ve Dirty COW'un "sihrinin" gerçekten gerçekleştiği yer burasıdır. Bir "ters kabuk" oluşturur; bu, basit bir ifadeyle, makinenin (bu durumda, telefonunuzun) uygulamanıza komutları çalıştırdığı anlamına gelir; bunun tersi yerine. Bu, saldırganın cihaza erişmesine olanak tanır; ZNIU bunu SELinux'a yama uygulayarak ve bir arka kapı kök kabuğu kurarak yapar.
Peki ne yapabilirim?
Gerçekten yapabileceğiniz tek şey Play Store'da olmayan uygulamalardan uzak durmak. Google onayladı TrendLab'lar O Google Play Koruma artık uygulamayı tanıyacak. Cihazınızda Aralık 2016 veya üzeri güvenlik yaması varsa tamamen güvendesiniz.
Kaynak: TrendLabs