欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

第一款运用Dirty COW破绽漏洞oday的Android安卓恶意病毒木马软件ZNIU

来源:本站整理 作者:佚名 时间:2017-09-28 TAG: 我要投稿

咱们已经向Google表露了本文提到的网安成绩,同时Google已经检测确认Google Play Protect已可以或许针对ZNIU供给响应的掩护了。
2016年,被称为Dirty COW(CVE-moles195)的Linux破绽漏洞bug被初次地下暴光。同时网安研讨人员发觉,诸如Redhat和Android之类的支流Linux平台中也存在该破绽漏洞bug,由于这些平台的内核都是基于Linux。这个破绽漏洞bug被认定为严重的提权破绽漏洞bug,容许入侵攻击者在目的体系上得到root拜访权限。不过从该破绽漏洞bug被发觉以来,不停没有听说过针对Android平台的Dirty COW入侵攻击的风闻,大概是由于入侵攻击者正在憋大招:多花些光阴搞出超等稳定的破绽漏洞bug利用代码。近一年后,趋势科技研讨人员网络到了ZNIU(即AndroidOS_ZNIU)的样本,这是第一个针对Android平台的Dirty COW破绽漏洞bug的恶意病毒木马软件系列。
上个月,网安研讨人员在四十多个国度发觉了ZNIU恶意病毒木马软件,此中大多数受害者都位于中国和印度。咱们在美国,日本,加拿大,德国和印度尼西亚等国也检测到了该恶意病毒木马软件。停止撰写本文时,咱们检测到的沾染用户已经跨越了5000人。同时,咱们在各类恶意病毒木马网站上发觉,有跨越1,200多种恶意病毒木马利用程式都携带ZNIU代码,此中包括一个利用Dirty COW破绽漏洞bug的现有rootkit,这些程式平日都邑伪装成色情和游戏软件。

图1:隐藏ZNIU代码的色情程式
客岁,咱们已经针对Dirty COW破绽漏洞bug开辟了一个PoC,经测试发觉一切版本的Android操作体系都易受该破绽漏洞bug的损害,然则,此次发觉的利用Dirty COW破绽漏洞bug的ZNIU代码却仅适用于64位的ARM/X86架构的Android装备。但是,这个破绽漏洞bug却可以或许绕过SELinux并天生root后门,而咱们的PoC则只能改动体系的办事代码。
咱们监测了六个ZNIU rootkit,此中四个利用了Dirty COW破绽漏洞bug。别的两个分别是KingoRoot(一个rooting程式)和Iovyroot破绽漏洞bug利用代码(CVE-2015-1805)。 ZNIU用到了KingoRoot和Iovyroot,由于它们可以或许获得ARM 32位CPU装备的root权限,其余针对该Dirty COW破绽漏洞bug的Rootkit则没有这个功效。
沾染进程
ZNIU恶意病毒木马软件平日伪装成色情利用程式,放在恶意病毒木马网站上工人们下载,当用户被欺骗而点击响应的恶意病毒木马URL后,它就会被装置到用户的手机上。一旦启动,ZNIU就开端与其C&C办事器停止通讯。假如有响应的更新代码可用,则从C&C办事器下载响应的代码,并将其加载到体系中。同时,Dirty COW破绽漏洞bug利用代码将用于提权,并成响应的后门,以便未来可以或许动员隐藏的长途控制入侵攻击。

图2:ZNIU沾染链
进入装备的主UI后,该恶意病毒木马软件将网络用户的运营商信息,而后该恶意病毒木马软件的操纵者将假冒受害者经由进程SMS付出办事与运营商停止生意营业。如许,利用受害者的挪动装备,ZNIU的幕后操纵者就可以或许经由进程运营商的付出办事来“吸金”。咱们从此中一个样本发觉,用户的钱是依据网络流量付出给一个虚构公司的,从下图可以或许看出,该公司位于中国的一个都会。 当SMS生意营业停止后,该恶意病毒木马软件会从装备中删除付款信息,从而抹去运营商与该恶意病毒木马软件操纵者之间的生意营业陈迹。假如运营商位于中国境外,它固然不会与运营商停止短信生意营业,但该恶意病毒木马软件仍将在体系中植入后门。

图3:恶意病毒木马软件发送给运营商的生意营业哀求
依据咱们的阐发,这个恶意病毒木马软件只会使中国运营商的用户承受款项丧失。别的,固然该恶意病毒木马软件操纵者可以或许设置更高的生意营业金额,从而捞更多的钱,然则为了防止被用户发觉,实际上每一笔生意营业金额都是很少的(每个月20元或3美元),免得惹起受害者的留意。

图4:SMS营业的截图
对付Android OS来讲,当付与其余利用程式拜访装备的SMS功效的权限时,会强迫用户参与,以是ZNIU必要root权限能力实现上述功效。别的,该恶意病毒木马软件还可以或许装置后门程式,并长途加载其余恶意病毒木马代码,从而继承从受害者那边压迫财帛。
深入阐发ZNIU Rootkit
ZNIU rootkit可以或许经由进程一个自力的播送接收者(Broadcast Receiver)集成到恶意病毒木马利用程式中。

图5:经由进程网络激活ZNIU代码
该恶意病毒木马软件可以或许轻松地将rootkit注入第三方利用程式,而无需变动其余组件,这将有助于停止大规模的流传。
该恶意病毒木马软件的操纵者还为ZNIU的DEX代码供给了加密和打包等掩护步伐,以反抗静态逆向工程。 颠末进一步查询拜访后发觉,一旦用户将装备连接到网络或拔出电源,它就会利用播送接收者(Broadcast Receiver)激活破绽漏洞bug代码。而后,该恶意病毒木马软件会间接传输并履行其当地代码。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载