沉睡一年的「臟牛」又被攻擊者利用，Android用戶你們還好嗎？

新聞 10-04

還記得 2016 年那個著名的 Linux 內核級漏洞 Dirty Cow（臟牛）嗎？2016 年 10 月，研究人員發現 Linux 內核的內存子系統在處理寫時拷貝（Copy-on-Write)時存在條件競爭漏洞，導致可以破壞私有隻讀內存映射。一個低許可權的本地用戶能夠利用此漏洞獲取其他只讀內存映射的寫許可權，有可能進一步導致提權漏洞，因此將這個漏洞命名為「臟牛」。

「臟牛」漏洞自 2007 年開始就存在於 Linux 的內核中，直到 2016 年才被發現，漏洞爆出後很快就有了修復補丁。後來，研究人員還發現這個漏洞可以用於獲取 Android 設備的 root 許可權，因為 Android 系統是基於早期的 Linux 內核，所以也可能遭到「臟牛」的攻擊。由於修復迅速且利用難度較大，當時並沒有太多利用「臟牛」進行攻擊的案例。

然而，時隔近一年，來自趨勢科技的研究人員又發現了「臟牛」的蹤跡：一個名為 ZNIU 的惡意程序使用「臟牛」漏洞獲取 Android 設備的 root 許可權並植入後門，攻擊者可以利用植入的後門收集設備中的信息。

看不到視頻，點

這裡

此外，如果受害者訂閱了中國通信運營商的服務，攻擊者就會展開第二階段的攻擊：利用後門賦予的設備 root 許可權，通過運營商的簡訊支付服務斂財。

而且為了避免被注意到，每次簡訊支付都設置了很小的金額（20 人民幣或者僅僅 3 美元）。在安卓系統上，如果有 APP 要獲取簡訊支付，需要經過人機交互，手動授予許可權，而由於 ZNIU 有 root 許可權，所以可以直接設置，無需通過交互就可完成簡訊支付。支付完成後，ZNIU 還會刪除簡訊提醒，藏匿行跡。

ZNIU 的實現機制

從技術層面來看，ZNIU 實際使用的「臟牛」 exploit 其實與去年研究人員公布的 POC 代碼並不相同。目前 ZNIU 使用「臟牛」 exploit 只在 64位 ARM/X86 架構的 Android 版本上生效。如果 ZNIU 感染的是 32 位 ARM CPU 架構的安卓手機，則會利用 KingoRoot APP 和Iovyroot exploit（CVE-2015-1805）獲取 root 許可權。

ZNIU 的 rootkit 實際上是通過獨立的廣播接收器整合入惡意 APP 中的。其代碼如下：

惡意軟體無需更改其他組件，可以輕易將 rootkit 注入第三方應用程序，這有助於其大規模分發。

攻擊者可以加密並打包 ZNIU 的惡意 DEX 代碼進行自我保護，防範靜態逆向。經過進一步調查，研究人員發現，一旦用戶將設備接入網路或只是簡單地接入電源，ZNIU 就會使用廣播接收器激活 exploit 代碼，隨後直接傳輸並執行惡意的本機代碼。

ZNIU的本機代碼的主要邏輯如下：

1. 收集設備的型號信息；

2. 從遠程伺服器獲取相應的 rootkit；

3. 解密 exploit；

4. 逐個觸發 exploit，檢查結果，並刪除 exploit 文件；

5 .報告 exploit 的結果

此外，遠程攻擊伺服器的 URL 以及客戶端和伺服器之間的通信都被攻擊者加密了。研究人員使用字元串解密，並進一步研究惡意 exploit 伺服器，發現其域名和伺服器主機都位於中國。惡意攻擊伺服器的鏈接為：hxxp://reg[.]oozclimb[.]com:5101

下載之後，『exp.ziu』 rootkit 會解壓為『exp.inf』：

rootkit 所需的全部文件都打包存儲在同一個 .inf 文件中，該文件以『ulnz』開頭，包含 ELF 和 script 文件。

ZNIU rootkit可以任意寫入 vDSO（虛擬動態鏈接共享對象），該對象將一組內核空間函數導出到用戶空間，便於應用程序更好地執行。 vDSO 代碼可在以沒有 SELinux 限制的內核環境中運行。

ZNIU 使用公開的 exploit 代碼將 shellcode 寫入 vDSO 並創建反向 shell。隨後修補 SELinux 策略以解除限制，並植入後門 root shell。

1200 多個安卓 APP 受感染

目前，研究人員已經在各個網站中檢測到 1200 多個攜帶 ZNIU 的惡意 APP 或，大多是遊戲和色情應用。此外，趨勢科技以公司客戶為對象進行檢測，發現 5000 名感染了 ZNIU 惡意程序的用戶，而全球範圍的實際感染數量可能更大。ZNIU 感染的用戶遍布 40 個國家，其中大多數人位於中國和印度，還有一部分位於美國、日本、加拿大、德國和印度尼西亞等。

谷歌目前已經發布了修復補丁，並在官方 Play Store 中進行了檢測。可以確認的是，感染了 ZNIU 的 APP 不會出現在谷歌 Play Store中.

因此，為了避免感染，用戶只能從Google Play Store 或受信任的第三方應用商店下載應用程序，並使用合適的安全解決方案。用戶還可以與設備製造商和/或電話運營商聯繫，獲取漏洞的補丁。

以下是檢測到的包含哈希值、包名和 APP 標籤的入侵指標列表，可以查看到所有受感染的 APP 類型：