Dirty COW(Dirty Copy-On-Write)或CVE-2016-5195是去年9月发现的具有9年历史的Linux错误 。它是有史以来在Linux内核中发现的最严重的错误之一,而现在在野外发现了被称为ZNIU的恶意软件 。该漏洞已在2016年12月的安全更新中修复,但未收到该漏洞的任何设备都容易受到攻击 。那是几台设备?非常多 。
如上所示,当Google开始制作安全补丁时,实际上有相当数量的Android 4.4之前版本的设备 。更重要的是,除非在2016年12月之后收到任何安全补丁, 并且除非上述补丁正确地针对了该bug,否则Android 6.0 Marshmallow或更低版本上的任何设备实际上都将受到威胁。由于许多制造商对安全更新的疏忽,很难说大多数人实际上受到了保护 。TrendLabs的分析显示了许多有关ZNIU的信息 。
ZNIU –第一个在Android上使用Dirty COW的恶意软件
首先让我们澄清一下,ZNIU 并不是 Android上Dirty COW的首次记录用法 。实际上,我们论坛上的用户使用了Dirty COW漏洞(DirtySanta基本上就是Dirty COW)来解锁LG V20的引导程序 。ZNIU只是用于恶意目的的bug的首次记录使用 。这可能是因为应用程序非常复杂 。它似乎活跃于40个,在撰写本文时,已有5000多名受感染的用户 。它伪装成色情和游戏应用程序,目前存在1200多种应用程序 。
【它是有史以来在Linux内核中发现的最严重的错误之一】ZNIU Dirty COW恶意软件做什么?
首先,ZNIU的Dirty COW实现仅适用于ARM和X86 64位体系结构 。听起来还不错,因为大多数64位体系结构的旗舰店通常至少会在2016年12月发布安全补丁 。但是,任何32位设备 也可能容易受到 lovyroot或KingoRoot的攻击,这是六个ZNIU rootkit中的两个使用的 。
但是ZNIU做什么?它 主要表现为与色情相关的应用,但在与游戏相关的应用中也可以找到 。安装后,它将检查ZNIU有效负载的更新 。然后它将开始特权升级,获得root用户访问权限,绕过SELinux并在系统中安装后门以用于将来的远程攻击 。
一旦应用程序初始化并安装了后门程序,它将开始将设备和运营商信息发送回位于的服务器 。然后,它开始通过运营商的付款服务将钱转入帐户, 但前提是被感染的用户具有中文电话号码 。确认交易的消息然后被拦截并删除 。来自境外的用户将记录其数据并安装后门,但不会从其帐户中进行付款 。为了避免通知,收取的金额非常少,相当于每月3美元 。ZNIU利用根访问权限来执行与SMS相关的操作,因为与SMS进行交互时,用户通常需要授予应用程序访问权限 。它还可能感染设备上安装的其他应用程序 。所有通信都经过加密,包括设备上下载的rootkit有效负载 。
尽管进行了加密,但混淆过程非常糟糕,以至于 TrendLabs能够确定Web服务器的详细信息,包括位置,用于在恶意软件和服务器之间进行通信 。
ZNIU Dirty COW恶意软件如何工作?
它的工作原理非常简单,并且从安全角度着迷 。该应用程序下载正在运行的当前设备所需的有效负载,并将其提取到文件中 。该文件包含恶意软件运行所需的所有脚本或ELF文件 。然后将其写入虚拟动态链接共享对象(vDSO),这通常是一种机制,用于为用户应用程序(即非root用户)提供在内核中工作的空间 。这里没有SELinux限制,这就是Dirty COW真正“神奇”的地方 。它创建了一个“反向外壳”,简单来说,这意味着机器(在本例中为您的手机)正在执行向您的应用程序发出的命令,而不是相反 。这样,攻击者就可以访问设备,ZNIU可以通过修补SELinux并安装后门root shell来进行访问 。
那我该怎么办?
确实,您所能做的就是远离Play商店以外的应用程序 。Google已向TrendLabs确认,Google Play Protect现在可以识别该应用程序 。如果您的设备具有2016年12月或更晚的安全补丁程序,则也完全安全 。
推荐阅读
- 美团指定时间是送达还是送出
- 什么物件最辟邪 辟邪的东西
- 香蕉皮怎么做肥料养花肥料 香蕉皮怎么发酵成肥料
- 去黑头面膜泥怎么用法 油性皮肤可以用泥膜吗
- 自定义启动器是人们想到Android自定义功能时首先想到的事情
- 十二星座女生专属头像 初见时可爱的星座有哪些?
- 小哨兵还原卡设置 小哨兵官网
- 大干皮适合的补水面膜 混干皮可以用补水面膜吗
- 扶桑树代表什么 传说中的扶桑树