「臟牛漏洞」惡意Root軟體分析報告

一、分析背景

近日，國際知名安全廠商趨勢科技發布了名為《ZNIU: First Android Malware to Exploit Dirty COW Vulnerability》（ZNIU:第一種利用「臟牛」漏洞的安卓惡意軟體）的分析報告。「臟牛」（Dirty COW）CVE-2016-5195漏洞是去年10月爆出的在Linux內核存在九年之久的提權漏洞，研究人員當時表示，攻擊者可以利用該漏洞攻擊Linux伺服器，Linux隨即發布補丁修復漏洞。

由於安卓操作系統基於早期的Linux內核，「臟牛」還可能被用來獲取安卓設備的Root許可權， Google於2016年11月發布對應的安卓補丁。9月25日，趨勢科技的安全研究人員發布報告介紹了一款新惡意軟體ZNIU，其使用「臟牛」獲取設備的Root許可權，並植入後門。

二、分析內容

基於國際領先惡意樣本分析能力以及強大的移動安全大數據能力，騰訊 反詐騙實驗室對 趨勢科技的報告進行了解讀 ，並從惡意樣本的演變趨勢、傳播渠道和影響範圍 進行了深入的分析。

2.1 惡意樣本分析

2.1.1 惡意樣本基本信息分析

從我們收集的樣本數據分析可知，此類惡意應用從4月份就開始出現，主要以色情小遊戲為主，並一直保持著版本 變化與更新。

2.1.2 惡意樣本執行流程

惡意樣本偽裝成色情應用和小遊戲，運行時界面如下：

一旦應用運行，惡意樣本將與其C＆C伺服器進行通信，從C＆C伺服器檢索可用的惡意代碼並將其載入到應用中。同時，利用rootexploit如KingoRoot、Iovyroot的dirty cow（臟牛）等來進行提權，並為未來的潛在攻擊留下後門。

應用運行起來，惡意軟體將收集用戶的載體信息，當用戶為中國境內用戶 時，惡意 應用通過 發送sp訂閱簡訊來 消耗用戶的話費， 並且應用不停的去查詢簡訊發送箱，當sp扣費簡訊發送成功後，應用會將簡訊發送 箱最近 的發送簡訊刪除掉，避免被用戶感知。發送惡意sp訂閱簡訊如下：

惡意應用的rootkit通過獨立的廣播接收器集成到惡意應用程序中，通過這種方式惡意軟體可以輕鬆地將rootkit集成進來 ，而無需更改其他組件，有利於 rootkit大 範圍植入。

rootkit註冊的廣播接收器一旦被激活，惡意軟體 載入相應的so文件並執行本地代碼。

本地so文件：

Native代碼主要實現以下功能：

1.收集設備的型號信息。

2.從遠程伺服器獲取相應的rootkit。

3.解密漏洞poc，觸發器逐個利用，檢查結果，並刪除漏洞利用文件。

4.報告漏洞是成功還是失敗。

惡意樣本聯網下載的exploit利用文件.ziu文件，通過解壓縮為.inf文件，文件名以「ulnz」開頭，並包含多個ELF或腳本文件。其中包含dirty cow（臟牛）漏洞的利用。

該exploit可以任意寫入vDSO（虛擬動態鏈接共享對象），為了使應用程序更好的執行，該對象將一組內核空間函數導出到用戶空間 ，vDSO代碼在沒有SELinux限制的內核上下文中運行 。 exploit使用漏洞利用代碼將shellcode寫入vDSO並創建反彈shell。然後，它修 改SELinux策略以解除限制並植入一個後門root shell。

2.1.3 惡意樣本推廣的惡意子包

惡意樣本通過留下的後門，將惡意推廣子包推送安裝到用戶手機，執行惡意推廣行為，瘋狂的彈出廣告，引誘 用戶點擊下載安裝應用 ， 獲取推廣費用。

惡意子包：

惡意子包和推廣行為如下圖所示：

2.2 惡意樣本發展趨勢

惡意樣本從2017年4月份開始出現，並且 版本一直保持著更新，推測惡意 軟體作者是一個組織分工明確的團伙，並且有較高的開發能力。 惡意 樣本的發展趨勢如下圖所示。

2.3 惡意樣本影響範圍

惡意樣本影響Android系統版本和 主要機型分布情況如下 所示：

2.4 安全建議

（

1

）不要從

非正規的應用市場和網頁上

下載安裝應用，

減少惡意

軟體的入侵

風險；

（2）安裝騰訊手機管家之類的安全軟體，可以及時發現惡意軟體並幫助清除；

（3）騰訊手機管家已經對上述惡意軟體進行 了查殺，用戶可以放心使用；

三、關於騰訊安全實驗室

騰訊移動安全實驗室：基於騰訊手機管家產品服務，通過終端安全平台、網路安全平台和硬體安全平台為移動產業打造雲管端全方位的安全解決方案。其中騰訊御安全專註於為個人和企業移動應用開發者，提供全面的應用安全服務。
騰訊安全反詐騙實驗室：匯聚國際最頂尖白帽黑客和多位騰訊專家級大數據人才，專註反詐騙技術和安全攻防體系研究。反詐騙實驗室擁有全球最大安全雲資料庫並服務99%中國網民。

*本文作者：騰訊手機管家，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！