在Linux內(nèi)核中存在九年之久的提權(quán)漏洞“臟牛”(Dirty COW)去年10月浮出水面,攻擊者可提升至root權(quán)限執(zhí)行惡意操作。
被發(fā)現(xiàn)之時(shí),“臟牛”是一個(gè)零日漏洞CVE-2016-5195。研究人員當(dāng)時(shí)表示,攻擊者利用該漏洞攻擊Linux服務(wù)器,Linux隨即發(fā)布補(bǔ)丁修復(fù)漏洞。最近,研究人員發(fā)現(xiàn)首款利用“臟牛”漏洞的安卓惡意軟件,其名為“ZNIU”。
ZNIU用“臟牛”Root安卓設(shè)備,植入后門(mén)發(fā)現(xiàn)提權(quán)漏洞“臟牛”幾天之后,研究人員發(fā)現(xiàn)“臟牛”還能用來(lái)獲取安卓設(shè)備的Root權(quán)限,這是因?yàn)榘沧坎僮飨到y(tǒng)基于早期的Linux內(nèi)核。
安卓操作系統(tǒng)所有版本均受到影響,谷歌于2016年11月發(fā)布安卓補(bǔ)丁。
更多有關(guān)“臟牛”的詳情見(jiàn)以下【視頻】:
9月25日,趨勢(shì)科技的安全研究人員發(fā)布報(bào)告詳細(xì)介紹了新惡意軟件ZNIU,其使用“臟牛”獲取設(shè)備的Root權(quán)限,并植入后門(mén)。
大多數(shù)受害者位于中國(guó)和印度研究人員表示,攻擊者利用這個(gè)惡意軟件收集被感染設(shè)備上的信息。奇怪的是,只有當(dāng)用戶位于中國(guó)時(shí),攻擊才會(huì)進(jìn)入第二階段感染。攻擊者使用后門(mén)賦予的完全控制權(quán)限為用戶訂閱付費(fèi)短信服務(wù)。
ZNIU感染鏈
趨勢(shì)科技在多個(gè)在線網(wǎng)站發(fā)現(xiàn)超過(guò)1200個(gè)攜帶ZNIU的惡意應(yīng)用程序,大多數(shù)被感染的應(yīng)用程序?yàn)橛螒蚝蜕閼?yīng)用,目前檢測(cè)到約5000名用戶遭遇ZNIU惡意軟件感染,但這個(gè)數(shù)據(jù)可能有些保守,因?yàn)槠渲徊榭戳俗陨硪苿?dòng)安全解決方案保護(hù)的設(shè)備。
ZNIU的受害者遍布40個(gè)國(guó)家,大多數(shù)受害者位于中國(guó)和印度。
ZNIU的“臟牛”實(shí)現(xiàn)方式遜色從技術(shù)層面來(lái)看,ZNIU使用 “臟牛”漏洞利用與研究人員去年發(fā)布的PoC代碼不同。
這個(gè)“臟牛”漏洞利用代碼只適用于ARM/X86 64位系統(tǒng)的安卓設(shè)備。當(dāng)感染ARM32位CPU的安卓手機(jī)時(shí),ZNIU借助KingoRoot應(yīng)用和Iovyroot漏洞利用(CVE-2015-1805)獲取Root訪問(wèn)權(quán)限。
被ZNIU感染的應(yīng)用程序從未成功登陸Google Play商店。用戶應(yīng)當(dāng)避免在Google Play商店以外的地方安裝應(yīng)用程序。