首页安全播报安全快讯 › “脏牛漏洞”恶意Root软件分析报告

“脏牛漏洞”恶意Root软件分析报告

2017-09-28

分析背景

       近日国际知名安全厂商趋势科技发布了名为《ZNIU: First Android Malware to Exploit Dirty COW Vulnerability》(ZNIU:第一种利用“牛”漏洞的安卓恶意软件)的分析报告。“脏牛”(Dirty COW)CVE-2016-5195漏洞是去年10月爆出Linux内核存在九年之久的提权漏洞,研究人员当时表示,攻击者可以利用该漏洞攻击Linux服务器,Linux随即发布补丁修复漏洞。由于安卓操作系统基于早期的Linux内核,“脏牛”还可能用来获取安卓设备的Root权限, Google于2016年11月发布对应安卓补丁。9月25日,趋势科技的安全研究人员发布报告介绍了一款新恶意软件ZNIU,其使用“脏牛”获取设备的Root权限,并植入后门。

分析内容

       基于国际领先恶意样本分析能力以及强大的移动安全大数据能力,腾讯诈骗实验室趋势科技的报告进行了解读并从恶意样本的演变趋势、传播渠道和影响范围进行了深入的分析

2.1 恶意样本分析

2.1.1 恶意样本基本信息分析

 

       从我们收集的样本数据分析可知,此类恶意应用从4月份就开始出现,主要以色情小游戏为主,并一直保持着版本变化与更新。

2.1.2 恶意样本执行流程

       恶意样本伪装成色情应用和小游戏,运行时界面如下:

 

       一旦应用运行,恶意样本将与其C&C服务器进行通信从C&C服务器检索可用的恶意代码并将其加载到应用中。同时,利用root exploit如KingoRootIovyroot的dirty cow(脏牛)等来进行提权,并为未来的潜在攻击留下后门

 

       应用运行起来恶意软件将收集用户的载体信息,当用户为中国境内用户恶意应用通过发送sp订阅短信来消耗用户的话费, 并且应用不停的去查询短信发送,当sp扣费短信发送成功后,应用会将短信发送箱最近的发送短信删除掉,避免被用户感知。发送恶意sp订阅短信如下

 

       恶意应用的rootkit通过独立的广播接收器集成到恶意应用程序中,通过这种方式恶意软件可以轻松地将rootkit集成进来,而无需更改其他组件,有利于rootkit大范围植入。

 

       rootkit注册广播接收器一旦被激活,恶意软件加载相应的so文件并执行本地代码。

 

       本地so文件:

 

 

       Native代码主要实现以下功能:

       1.收集设备的型号信息。

       2.从远程服务器获取相应的rootkit。

       3.解密漏洞poc,触发器逐个利用,检查结果,并删除漏洞利用文件。

       4.报告漏洞是成功还是失败。

       恶意样本联网下载的exploit利用文件.ziu文件,通过解压缩为.inf文件,文件名以“ulnz”开头,并包含多个ELF或脚本文件。其中包含dirty cow(脏牛)漏洞的利用。

 

       exploit可以任意写入vDSO(虚拟动态链接共享对象),为了使应用程序更好的执行,该对象将一组内核空间函数导出到用户空间vDSO代码在没有SELinux限制的内核上下文中运行exploit使用漏洞利用代码将shellcode写入vDSO并创建反弹shell。然后,它修SELinux策略以解除限制并植入一个后门root shell。

 

2.1.3 恶意样本推广的恶意子包

       恶意样本通过留下的后门,将恶意推广子包推送安装到用户手机,执行恶意推广行为,疯狂的弹出广告,引诱用户点击下载安装应用获取推广费用。

       恶意子包:

 

 

       恶意子包和推广行为如下图所示:

 

 

2.2 恶意样本发展趋势

       恶意样本从2017年4月份开始出现,并且版本一直保持着更新,推测恶意软件作者是一个组织分工明确的团伙,并且有较高的开发能力。恶意样本的发展趋势如下图所示。

 

 

2.3 恶意样本影响范围

       恶意样本影响Android系统版本和主要机型分布情况如下所示:

2.4 安全建议

       1)不要从非正规的应用市场和网页上下载安装应用,减少恶意软件的入侵风险;

       2安装腾讯手机管家之类的安全软件,可以及时发现恶意软件并帮助清除;

       3腾讯手机管家已经对上述恶意软件进行了查杀用户可以放心使用;

 

 

三、关于腾讯安全实验室

       腾讯移动安全实验室:基于腾讯手机管家产品服务,通过终端安全平台、网络安全平台和硬件安全平台为移动产业打造云管端全方位的安全解决方案。其中腾讯御安全专注于为个人和企业移动应用开发者,提供全面的应用安全服务。
       腾讯安全反诈骗实验室:汇聚国际最顶尖白帽黑客和多位腾讯专家级大数据人才,专注反诈骗技术和安全攻防体系研究。反诈骗实验室拥有全球最大安全云数据库并服务99%中国网民。


安全快讯 更多

手机丢了应该怎么办?

手机丢了应该怎么办?

2021-08-16
做兼职,这些陷阱别踩!

做兼职,这些陷阱别踩!

2021-08-16
人之间的区别是什么?

人之间的区别是什么?

2021-08-16

安全视频 更多

小管说安全(4)——狗阿旺的案情回顾

2017-12-06

手柄助手完美适配光荣使命

2017-11-30

小管说安全(3)——谣言有毒

2017-10-24