Δεδομένου ότι το Linux είναι ένα έργο ανοικτού πηγαίου κώδικα, είναι δύσκολο να βρεθούν σφάλματα ασφαλείας στον πηγαίο κώδικα του, καθώς χιλιάδες χρήστες συνεχίζουν να ελέγχονται και να διορθώνουν τον ίδιο. Λόγω αυτής της ενεργητικής προσέγγισης, ακόμα και όταν εντοπιστεί ένα ελάττωμα, αυτό είναι patched αμέσως. Γι 'αυτό ήταν τόσο περίεργο όταν ανακαλύφθηκε ένα εκμεταλλευόμενο πέρυσι το οποίο έχει ξεφύγει από την αυστηρή δέουσα επιμέλεια όλων των χρηστών τα τελευταία 9 χρόνια. Ναι, το έχετε διαβάσει σωστά, παρόλο που η εκμετάλλευση ανακαλύφθηκε τον Οκτώβριο του 2016, είχε υπάρξει μέσα στον κώδικα του πυρήνα Linux από τα τελευταία 9 χρόνια. Αυτός ο τύπος ευπάθειας, ο οποίος είναι ένας τύπος σφάλματος κλιμάκωσης προνομίων, είναι γνωστός ως ευπάθεια Dirty Cow (αριθμός καταλόγου σφαλμάτων πυρήνα Linux - CVE-2016-5195).
Παρόλο που αυτή η ευπάθεια είχε διορθωθεί για Linux μια εβδομάδα μετά την ανακάλυψή του, άφησε όλες τις συσκευές Android ευάλωτες σε αυτό το exploit (το Android βασίζεται στον πυρήνα του Linux). Το patched Android ακολούθησε τον Δεκέμβριο του 2016, ωστόσο, λόγω της κατακερματισμένης φύσης του οικοσυστήματος Android, εξακολουθούν να υπάρχουν πολλές συσκευές Android που δεν έχουν λάβει την ενημέρωση και παραμένουν ευάλωτες σε αυτό. Το πιο τρομακτικό είναι ότι ένα νέο κακόβουλο λογισμικό Android που ονομάστηκε ZNIU ανακαλύφθηκε μόλις δύο μέρες πίσω και εκμεταλλεύεται την ευπάθεια της Dirty Cow. Σε αυτό το άρθρο, θα εξετάσουμε σε βάθος την ευπάθεια Dirty Cow και πώς γίνεται κατάχρηση του Android από το malware ZNIU.
Τι είναι το θέμα ευπάθειας των βρώμικων αγελάδων;
Όπως αναφέρθηκε παραπάνω, η ευπάθεια Dirty Cow είναι ένας τύπος εκμετάλλευσης κλιμάκωσης προνομίων, ο οποίος μπορεί να χρησιμοποιηθεί για να παραχωρήσει δικαιώματα σε υπεργολάβους σε οποιονδήποτε. Βασικά, χρησιμοποιώντας αυτό το θέμα ευπάθειας, οποιοσδήποτε χρήστης με κακόβουλο προνόμιο μπορεί να παραχωρήσει στον εαυτό του ένα προνόμιο υπεργολάβου χρήστη, οπότε έχει πλήρη πρόσβαση root σε μια συσκευή του θύματος. Η πρόσβαση στη ρίζα στη συσκευή του θύματος δίνει στον επιτιθέμενο πλήρη έλεγχο της συσκευής και μπορεί να εξαγάγει όλα τα δεδομένα που είναι αποθηκευμένα στη συσκευή χωρίς να γίνει ο χρήστης πιο σοφός.
Τι είναι το ZNIU και τι βρώμικη αγελάδα έχει να κάνει με αυτό;
Το ZNIU είναι το πρώτο καταγραμμένο κακόβουλο λογισμικό για το Android το οποίο χρησιμοποιεί την ευπάθεια Dirty Cow για επίθεση συσκευών Android. Το κακόβουλο λογισμικό χρησιμοποιεί την ευπάθεια Dirty Cow για να αποκτήσει πρόσβαση root στις συσκευές του θύματος. Επί του παρόντος, το κακόβουλο λογισμικό έχει εντοπιστεί ότι κρύβεται σε περισσότερες από 1200 εφαρμογές παιχνιδιού και πορνογραφικού περιεχομένου για ενήλικες. Κατά τη δημοσίευση αυτού του άρθρου, πάνω από 5000 χρήστες σε 50 χώρες έχουν βρεθεί ότι επηρεάζονται από αυτό.
Ποιες συσκευές Android είναι ευάλωτες στο ZNIU;
Μετά την ανακάλυψη της ευπάθειας Dirty Cow (Οκτώβριος 2016), η Google κυκλοφόρησε μια ενημερωμένη έκδοση κώδικα τον Δεκέμβριο του 2016 για να διορθώσει αυτό το ζήτημα. Ωστόσο, η ενημερωμένη έκδοση κώδικα κυκλοφόρησε για συσκευές Android που εκτελούσαν το Android KitKat (4.4) ή παραπάνω. Σύμφωνα με τη διάλυση της διανομής Android OS από την Google, περισσότερο από το 8% των smartphones Android εξακολουθούν να εκτελούνται σε χαμηλότερες εκδόσεις του Android. Από αυτά που εκτελούνται στο Android 4.4 έως Android 6.0 (Marshmallow), μόνο αυτές οι συσκευές είναι ασφαλείς και έχουν λάβει και εγκατέστησε την ενημερωμένη έκδοση κώδικα ασφαλείας Δεκεμβρίου για τις συσκευές τους.
Αυτές είναι πολλές συσκευές Android που έχουν τη δυνατότητα εκμετάλλευσης. Ωστόσο, οι Άνθρωποι μπορούν να επιδοθούν στο γεγονός ότι το ZNIU χρησιμοποιεί μια κάπως τροποποιημένη έκδοση της ευπάθειας Dirty Cow και ως εκ τούτου έχει βρεθεί ότι είναι επιτυχής μόνο σε σχέση με τις συσκευές Android που χρησιμοποιούν την αρχιτεκτονική ARM / X86 64-bit . Ακόμα, αν είστε ιδιοκτήτης Android, θα ήταν καλύτερο να ελέγξετε αν έχετε εγκαταστήσει την ενημερωμένη έκδοση ασφαλείας του Δεκεμβρίου ή όχι.
ZNIU: Πώς λειτουργεί;
Αφού ο χρήστης κατεβάσει μια κακόβουλη εφαρμογή που έχει μολυνθεί από κακόβουλο λογισμικό ZNIU, κατά την εκκίνηση της εφαρμογής, το κακόβουλο λογισμικό ZNIU θα επικοινωνήσει αυτόματα και θα συνδεθεί στους διακομιστές εντολών και ελέγχου (C & C) για να λάβει τυχόν ενημερώσεις, εάν είναι διαθέσιμες. Μόλις ενημερωθεί η ίδια, θα χρησιμοποιήσει την προνόμια κλιμάκωσης (Dirty Cow) εκμεταλλεύονται για να αποκτήσουν τη ριζική πρόσβαση στη συσκευή του θύματος. Αφού έχει πρόσβαση root στη συσκευή, θα συλλέγει τις πληροφορίες του χρήστη από τη συσκευή .
Επί του παρόντος, το κακόβουλο λογισμικό χρησιμοποιεί τις πληροφορίες χρήστη για να επικοινωνήσει με τον μεταφορέα δικτύου του θύματος θέτοντας τον ίδιο τον χρήστη. Μετά την επικύρωση, θα πραγματοποιήσει μικρές συναλλαγές μέσω SMS και θα εισπράξει πληρωμή μέσω της υπηρεσίας πληρωμών του μεταφορέα. Το κακόβουλο λογισμικό είναι αρκετά έξυπνο για να διαγράψει όλα τα μηνύματα από τη συσκευή μετά την πραγματοποίηση των συναλλαγών. Έτσι, το θύμα δεν έχει ιδέα για τις συναλλαγές. Γενικά, οι συναλλαγές πραγματοποιούνται για πολύ μικρά ποσά ($ 3 / μήνα). Αυτή είναι μια άλλη προφύλαξη που λαμβάνει ο εισβολέας για να εξασφαλίσει ότι το θύμα δεν ανακαλύπτει τις μεταφορές κεφαλαίων.
Μετά την παρακολούθηση των συναλλαγών, διαπιστώθηκε ότι τα χρήματα μεταφέρθηκαν σε μια εικονική εταιρεία με έδρα την Κίνα . Καθώς οι συναλλαγές που βασίζονται σε μεταφορείς δεν επιτρέπονται να μεταφέρουν χρήματα σε διεθνές επίπεδο, μόνο οι χρήστες που επηρεάζονται στην Κίνα θα υποφέρουν από αυτές τις παράνομες συναλλαγές. Ωστόσο, οι χρήστες εκτός της Κίνας θα εξακολουθούν να διαθέτουν το κακόβουλο λογισμικό εγκατεστημένο στη συσκευή τους, το οποίο μπορεί να ενεργοποιηθεί οποιαδήποτε στιγμή από απόσταση, καθιστώντας τους δυνητικούς στόχους. Ακόμη και αν τα διεθνή θύματα δεν υποφέρουν από παράνομες συναλλαγές, το backdoor δίνει στον επιτιθέμενο την ευκαιρία να εισφέρει περισσότερο κακόβουλο κώδικα στη συσκευή.
Πώς να σώσετε τον εαυτό σας από το κακόβουλο λογισμικό ZNIU
Έχουμε γράψει ένα ολόκληρο άρθρο σχετικά με την προστασία της συσκευής Android από κακόβουλο λογισμικό, το οποίο μπορείτε να διαβάσετε πατώντας εδώ. Το βασικό είναι να χρησιμοποιήσετε την κοινή λογική και να μην εγκαταστήσετε τις εφαρμογές από μη αξιόπιστες πηγές. Ακόμη και στην περίπτωση του κακόβουλου λογισμικού ZNIU, έχουμε δει ότι το κακόβουλο λογισμικό παραδίδεται στα κινητά του θύματος όταν εγκαθιστούν πορνογραφικές εφαρμογές ή εφαρμογές παιχνιδιού για ενήλικες, οι οποίες γίνονται από μη αξιόπιστους προγραμματιστές. Για να προστατεύσετε αυτό το συγκεκριμένο κακόβουλο λογισμικό, βεβαιωθείτε ότι η συσκευή σας βρίσκεται στην τρέχουσα ενημερωμένη έκδοση κώδικα ασφαλείας από την Google. Το εκμεταλλευόμενο patched με την ενημερωμένη έκδοση κώδικα ασφαλείας του Δεκεμβρίου (2016) από την Google, οπότε οποιοσδήποτε έχει εγκατεστημένη αυτή την ενημερωμένη έκδοση κώδικα είναι ασφαλής από το κακόβουλο λογισμικό ZNIU. Παρόλα αυτά, ανάλογα με τον ΚΑΕ σας, ίσως να μην έχετε λάβει την ενημέρωση, επομένως είναι πάντα καλύτερο να γνωρίζετε όλους τους κινδύνους και να λαμβάνετε τις απαραίτητες προφυλάξεις από την πλευρά σας. Και πάλι, όλα όσα πρέπει και δεν πρέπει να κάνετε για να σώσετε τη συσκευή σας από το να μολυνθεί από κακόβουλο λογισμικό αναφέρονται στο άρθρο που συνδέεται παραπάνω.
Προστατέψτε το Android σας από το να μολυνθεί από κακόβουλο λογισμικό
Τα τελευταία δύο χρόνια έχει παρατηρηθεί αύξηση των επιθέσεων malware στο Android. Το πρόβλημα της βρώμικης αγελάδας ήταν ένα από τα μεγαλύτερα εκμεταλλεύματα που ανακαλύφθηκε ποτέ και το πώς το ZNIU εκμεταλλεύεται αυτή την ευπάθεια είναι απλά φρικτή. Το ZNIU είναι ιδιαίτερα ανησυχητικό λόγω της έκτασης των συσκευών που επηρεάζει και του αμέριστου ελέγχου που παρέχει στον εισβολέα. Ωστόσο, εάν γνωρίζετε τα προβλήματα και λαμβάνετε τις απαραίτητες προφυλάξεις, η συσκευή σας θα είναι ασφαλής από αυτές τις δυνητικά επικίνδυνες επιθέσεις. Επομένως, πρώτα βεβαιωθείτε ότι έχετε ενημερώσει τις πιο πρόσφατες ενημερώσεις κώδικα ασφαλείας από την Google μόλις τις αποκτήσετε και, στη συνέχεια, αποφύγετε τις ανεπιστρεπτίσες και ύποπτες εφαρμογές, αρχεία και συνδέσμους. Τι πιστεύετε ότι πρέπει να προστατεύετε τη συσκευή τους από επιθέσεις κακόβουλου λογισμικού. Ας γνωρίσουμε τις σκέψεις σας σχετικά με το θέμα, καταργώντας τις στο παρακάτω τμήμα σχολίων.