“脏牛漏洞”恶意Root软件分析报告

一、分析背景

近日,国际知名安全厂商趋势科技发布了名为《ZNIU: First Android Malware to Exploit Dirty COW Vulnerability》(ZNIU:第一种利用“脏牛”漏洞的安卓恶意软件)的分析报告。“脏牛”(Dirty COW)CVE-2016-5195漏洞是去年10月爆出的在Linux内核存在九年之久的提权漏洞,研究人员当时表示,攻击者可以利用该漏洞攻击Linux服务器,Linux随即发布补丁修复漏洞。

由于安卓操作系统基于早期的Linux内核,“脏牛”还可能被用来获取安卓设备的Root权限, Google于2016年11月发布对应的安卓补丁。9月25日,趋势科技的安全研究人员发布报告介绍了一款新恶意软件ZNIU,其使用“脏牛”获取设备的Root权限,并植入后门。

二、分析内容

基于国际领先恶意样本分析能力以及强大的移动安全大数据能力,腾讯 反诈骗实验室对 趋势科技的报告进行了解读 ,并从恶意样本的演变趋势、传播渠道和影响范围 进行了深入的分析。

2.1 恶意样本分析

2.1.1 恶意样本基本信息分析

从我们收集的样本数据分析可知,此类恶意应用从4月份就开始出现,主要以色情小游戏为主,并一直保持着版本 变化与更新。

2.1.2 恶意样本执行流程

恶意样本伪装成色情应用和小游戏,运行时界面如下:

一旦应用运行,恶意样本将与其C&C服务器进行通信,从C&C服务器检索可用的恶意代码并将其加载到应用中。同时,利用rootexploit如KingoRoot、Iovyroot的dirty cow(脏牛)等来进行提权,并为未来的潜在攻击留下后门。

应用运行起来,恶意软件将收集用户的载体信息,当用户为中国境内用户 时,恶意 应用通过 发送sp订阅短信来 消耗用户的话费, 并且应用不停的去查询短信发送箱,当sp扣费短信发送成功后,应用会将短信发送 箱最近 的发送短信删除掉,避免被用户感知。发送恶意sp订阅短信如下:

恶意应用的rootkit通过独立的广播接收器集成到恶意应用程序中,通过这种方式恶意软件可以轻松地将rootkit集成进来 ,而无需更改其他组件,有利于 rootkit大 范围植入。

rootkit注册的广播接收器一旦被激活,恶意软件 加载相应的so文件并执行本地代码。

本地so文件:

Native代码主要实现以下功能:

1.收集设备的型号信息。 2.从远程服务器获取相应的rootkit。 3.解密漏洞poc,触发器逐个利用,检查结果,并删除漏洞利用文件。 4.报告漏洞是成功还是失败。

恶意样本联网下载的exploit利用文件.ziu文件,通过解压缩为.inf文件,文件名以“ulnz”开头,并包含多个ELF或脚本文件。其中包含dirty cow(脏牛)漏洞的利用。

该exploit可以任意写入vDSO(虚拟动态链接共享对象),为了使应用程序更好的执行,该对象将一组内核空间函数导出到用户空间 ,vDSO代码在没有SELinux限制的内核上下文中运行 。 exploit使用漏洞利用代码将shellcode写入vDSO并创建反弹shell。然后,它修 改SELinux策略以解除限制并植入一个后门root shell。

2.1.3 恶意样本推广的恶意子包

恶意样本通过留下的后门,将恶意推广子包推送安装到用户手机,执行恶意推广行为,疯狂的弹出广告,引诱 用户点击下载安装应用 , 获取推广费用。

恶意子包:

恶意子包和推广行为如下图所示:

2.2 恶意样本发展趋势

恶意样本从2017年4月份开始出现,并且 版本一直保持着更新,推测恶意 软件作者是一个组织分工明确的团伙,并且有较高的开发能力。 恶意 样本的发展趋势如下图所示。

2.3 恶意样本影响范围

恶意样本影响Android系统版本和 主要机型分布情况如下 所示:

2.4 安全建议

(1)不要从非正规的应用市场和网页上下载安装应用, 减少恶意软件的入侵风险; (2)安装腾讯手机管家之类的安全软件,可以及时发现恶意软件并帮助清除; (3)腾讯手机管家已经对上述恶意软件进行 了查杀,用户可以放心使用;

三、关于腾讯安全实验室

腾讯移动安全实验室:基于腾讯手机管家产品服务,通过终端安全平台、网络安全平台和硬件安全平台为移动产业打造云管端全方位的安全解决方案。其中腾讯御安全专注于为个人和企业移动应用开发者,提供全面的应用安全服务。 腾讯安全反诈骗实验室:汇聚国际最顶尖白帽黑客和多位腾讯专家级大数据人才,专注反诈骗技术和安全攻防体系研究。反诈骗实验室拥有全球最大安全云数据库并服务99%中国网民。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-10-05

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏黑白安全

用WiFi时如何避免被黑客攻击

开个玩笑。确实,日常生活中大家已经离不开WiFi了吧?WiFi的好处无需赘言,但是相应的,它的危险性也值得我们商榷。那么,该如何保证自己的安全呢?

14020
来自专栏安恒信息

威胁告警:大量ubnt设备被植入后门

近期,安恒安全研究团队监控到大量利用弱口令对22端口进行暴力破解的攻击。经过安全团队详细分析,我们发现网络上大量的ubnt设备的存在弱口令,并且已经被黑客使用自...

53160
来自专栏FreeBuf

空Word文档附件:绕过垃圾邮件过滤的新方法

安全研究人员最近发现,垃圾邮件发送者们正在使用一种新的手法绕过垃圾邮件过滤系统——空Word文档。 ? 空白Word文档 垃圾邮件附件中的文档通常伪装成发票或...

21690
来自专栏DT数据侠

4500个热门景点数据,告诉你国庆长假的正确打开姿势

国庆出游,确实是个让人头痛的问题。今天这位数据侠,不仅用数据告诉你国庆如何成功避开“people mountain people sea”,还手把手带你用Pyt...

10100
来自专栏微信小程序开发

干货 | 使用小程序支付的常见问题

知晓程序员,专注微信小程序开发! 最近,小程序群内也有不少同学问到支付相关的问题,连胜老师今天给大家分享一下小程序支付的几个问题。 一、小程序支付和公众号支付是...

1.1K100
来自专栏FreeBuf

围观2016年最活跃的“顶级Exploit Kit”

Exploit Kit作为传播犯罪软件的重要工具,一直深受网络犯罪分子喜爱。俗话说知己知彼百战百胜,面对与时俱进,不断升级更新的Exploit Kit,我们必须...

23750
来自专栏腾讯云安全的专栏

腾讯云发布一键封堵工具,完美规避 NSA 黑客工具影响

24070
来自专栏SAP最佳业务实践

SAP最佳业务实践:FI–应收帐款(157)-5 FB75贷项凭证

4.6 根据发票过帐贷项凭证 如果销售与分销模块在实施范围内,请执行步骤 根据销售与分销模块发票过帐贷项凭证。这样就确保了销售与分销模块和财务/控制会计之间的整...

41160
来自专栏魏艾斯博客www.vpsss.net

选择 Namesilo 注册、转移、续费域名的理由

71530
来自专栏CDA数据分析师

我是如何一不小心阻止了勒索病毒的全球蔓延

原作者 MalwareTech 编译 CDA 编译团队 本文为  CDA 数据分析师原创作品,转载需授权 前言 上周全球爆发电脑勒索病毒,“疫情”已波及 99 ...

31290

扫码关注云+社区

领取腾讯云代金券