Ponieważ Linux jest projektem typu open source, trudno znaleźć luki w zabezpieczeniach w kodzie źródłowym, ponieważ tysiące użytkowników aktywnie je sprawdza i naprawia. Dzięki temu proaktywnemu podejściu, nawet gdy wykryta zostanie usterka, jest ono natychmiast naprawiane. Dlatego tak zaskakujące było odkrycie w ubiegłym roku exploita, który w ciągu ostatnich 9 lat uniknął rygorystycznej staranności wszystkich użytkowników. Tak, dobrze przeczytałeś, chociaż exploit został odkryty w październiku 2016 r., Istniał w kodzie jądra Linuksa od 9 lat. Ten rodzaj luki, który jest rodzajem błędu eskalacji uprawnień, jest znany jako luka Dirty Cow (numer katalogowy błędów jądra systemu Linux - CVE-2016-5195).
Mimo że luka ta została załatana w systemie Linux w tydzień po jej odkryciu, pozostawiła ona wszystkie urządzenia z Androidem podatnymi na ten exploit (system Android jest oparty na jądrze Linux). W grudniu 2016 r. Wprowadzono poprawki na Androida, jednak ze względu na fragmentaryczny charakter ekosystemu Androida wciąż jest wiele urządzeń z Androidem, które nie otrzymały aktualizacji i pozostają na nią podatne. Co więcej przerażające jest to, że nowe złośliwe oprogramowanie dla Androida nazwane ZNIU zostało odkryte zaledwie kilka dni temu, wykorzystując lukę Dirty Cow. W tym artykule zajmiemy się szczegółową analizą luki Dirty Cow i jej nadużywania na Androida przez złośliwe oprogramowanie ZNIU.
Co to jest luka w zabezpieczeniach Dirty Cow?
Jak wspomniano powyżej, luka Dirty Cow jest rodzajem exploita eskalacji uprawnień, który może zostać użyty do przyznania każdemu uprawnienia superużytkownika . Zasadniczo, korzystając z tej luki, każdy użytkownik o złośliwych zamiarach może przyznać sobie przywileje superużytkownika, dzięki czemu ma pełny dostęp do urządzenia ofiary. Uzyskanie dostępu roota do urządzenia ofiary daje osobie atakującej pełną kontrolę nad urządzeniem i może on wyodrębnić wszystkie dane przechowywane na urządzeniu, bez konieczności stania się mądrzejszym.
Co to jest ZNIU i co ma z tym zrobić brudna krowa?
ZNIU to pierwsze zarejestrowane złośliwe oprogramowanie dla systemu Android, które wykorzystuje ataki Dirty Cow do atakowania urządzeń z systemem Android. Szkodnik wykorzystuje lukę Dirty Cow, aby uzyskać uprawnienia administratora do urządzeń ofiary. Obecnie wykryto, że złośliwe oprogramowanie ukrywa się w ponad 1200 aplikacjach dla dorosłych i grach pornograficznych. W momencie publikacji tego artykułu stwierdzono, że dotyczy on ponad 5000 użytkowników w 50 krajach.
Które urządzenia z systemem Android są podatne na ZNIU?
Po wykryciu luki Dirty Cow (październik 2016 r.) Google opublikowała łatkę w grudniu 2016 r., Aby rozwiązać ten problem. Jednak łatka została wydana na urządzenia z Androidem, które były uruchomione na Android KitKat (4.4) lub nowszym. Zgodnie z rozpadem systemu operacyjnego Android OS przez Google, ponad 8% smartfonów z Androidem wciąż działa w niższych wersjach Androida. Spośród tych, którzy korzystają z Androida 4.4 do Androida 6.0 (Marshmallow), tylko te urządzenia są bezpieczne, które otrzymały i zainstalowały grudniową poprawkę bezpieczeństwa dla swoich urządzeń.
To dużo urządzeń z Androidem, które mogą zostać wykorzystane. Jednak Ludzie mogą czerpać pociechę z faktu, że ZNIU używa nieco zmodyfikowanej wersji luki Dirty Cow, a zatem okazało się, że odnosi sukces tylko przeciwko tym urządzeniom z Androidem, które używają architektury 64-bitowej ARM / X86 . Mimo to, jeśli jesteś właścicielem Androida, lepiej sprawdzić, czy masz zainstalowaną grudniową poprawkę bezpieczeństwa.
ZNIU: Jak to działa?
Po pobraniu przez użytkownika złośliwej aplikacji, która została zainfekowana złośliwym oprogramowaniem ZNIU, po uruchomieniu aplikacji złośliwe oprogramowanie ZNIU automatycznie skontaktuje się z serwerami poleceń i kontroli (C & C), aby uzyskać wszelkie aktualizacje, jeśli są dostępne. Po zaktualizowaniu się, użyje exploita eskalacji uprawnień (Dirty Cow), aby uzyskać dostęp do urządzenia głównego ofiary. Po uzyskaniu dostępu root do urządzenia, zbiera on dane użytkownika z urządzenia .
Obecnie szkodliwe oprogramowanie wykorzystuje informacje o użytkowniku, aby skontaktować się z operatorem sieci ofiary, podając się za użytkownika. Po uwierzytelnieniu będzie przeprowadzać mikropłatności oparte na SMS i pobierać płatności za pośrednictwem usługi płatności operatora. Szkodliwe oprogramowanie jest wystarczająco inteligentne, aby usunąć wszystkie wiadomości z urządzenia po dokonaniu transakcji. Tak więc ofiara nie ma pojęcia o transakcjach. Zasadniczo transakcje są przeprowadzane dla bardzo małych kwot (3 USD / miesiąc). Jest to kolejny środek ostrożności podejmowany przez atakującego, aby upewnić się, że ofiara nie odkryje transferów funduszy.
Po śledzeniu transakcji okazało się, że pieniądze zostały przekazane do fikcyjnej firmy z siedzibą w Chinach . Ponieważ transakcje oparte na operatorze nie są autoryzowane do przesyłania pieniędzy w skali międzynarodowej, tylko ci użytkownicy, którzy są dotknięci w Chinach, będą cierpieć z powodu tych nielegalnych transakcji. Jednak użytkownicy spoza Chin nadal będą mieli zainstalowane złośliwe oprogramowanie na swoim urządzeniu, które może być aktywowane zdalnie, co czyni je potencjalnymi celami. Nawet jeśli międzynarodowe ofiary nie cierpią z powodu nielegalnych transakcji, backdoor daje atakującemu szansę na wstrzyknięcie większej ilości złośliwego kodu do urządzenia.
Jak uratować się przed złośliwym oprogramowaniem ZNIU
Napisaliśmy cały artykuł na temat ochrony urządzenia z systemem Android przed złośliwym oprogramowaniem, które można przeczytać, klikając tutaj. Podstawową rzeczą jest używanie zdrowego rozsądku i nie instalowanie aplikacji z niezaufanych źródeł. Nawet w przypadku złośliwego oprogramowania ZNIU zauważyliśmy, że złośliwe oprogramowanie jest dostarczane do telefonu komórkowego ofiary podczas instalowania aplikacji pornograficznych lub gier dla dorosłych, które są tworzone przez niezaufanych programistów. Aby chronić się przed tym konkretnym złośliwym oprogramowaniem, upewnij się, że Twoje urządzenie znajduje się na aktualnej poprawce zabezpieczeń od Google. Exploit został załatany łatą bezpieczeństwa z grudnia (2016 r.) Od Google, dlatego każdy, kto ma tę zainstalowaną łatę, jest bezpieczny przed złośliwym oprogramowaniem ZNIU. Mimo to, w zależności od Twojego OEM, możesz nie otrzymać aktualizacji, dlatego zawsze lepiej być świadomym całego ryzyka i podjąć niezbędne środki ostrożności ze swojej strony. Ponownie, wszystko, co powinieneś i czego nie powinieneś robić, aby uratować urządzenie przed zainfekowaniem przez złośliwe oprogramowanie, jest wymienione w artykule, który jest połączony powyżej.
Chroń swój Android przed zainfekowaniem przez złośliwe oprogramowanie
W ciągu ostatnich kilku lat nastąpił wzrost liczby ataków złośliwego oprogramowania na system Android. Luka Dirty Cow była jednym z największych exploitów, jakie kiedykolwiek odkryto i widząc jak ZNIU wykorzystuje tę lukę jest po prostu przerażająca. ZNIU jest szczególnie niepokojący ze względu na zakres urządzeń, na które uderza, oraz nieskrępowaną kontrolę, którą przyznaje atakującemu. Jeśli jednak zdajesz sobie sprawę z problemów i podejmujesz niezbędne środki ostrożności, urządzenie będzie zabezpieczone przed potencjalnie niebezpiecznymi atakami. Dlatego najpierw upewnij się, że aktualizujesz najnowsze poprawki zabezpieczeń od Google, gdy tylko je otrzymasz, a następnie trzymaj się z dala od niezaufanych i podejrzanych aplikacji, plików i linków. Jak myślisz, co należy zrobić, aby chronić swoje urządzenie przed atakami złośliwego oprogramowania. Daj nam znać swoje przemyślenia na ten temat, upuszczając je w sekcji komentarzy poniżej.
