ZNIU，第一个利用DirtyCow漏洞的Android恶意应用程序。 DirtyCOW（CVE-2016-5195）是2016年发现的Linux内核权限漏洞。它可以通过在竞争条件下使用写入时间竞争来增加权限，影响Linux内核2.6.22之后的所有版本以及Android 1.0使用的内核内核是2.6.25，因此所有Android系统版本都存在DirtyCOW漏洞。 最近，趋势科技研究人员发现了一些ZNIU（AndroidOS APP）样本，这是第一个利用DirtyCow漏洞的恶意应用程序。 上个月，ZNIU在40多个国家被发现，主要是中国和印度。截至目前，已有5000多名感染者。数据显示，有超过1,200个携带ZNIU的恶意应用程序，通常伪装成色情和游戏应用程序。 图1:隐藏ZNIU色情应用程序 我们去年发布的PoC只能修改系统的服务代码，而ZNIU使用DirtyCow可以绕过SELinux机制并构建到root后门。有6个ZNIU rootkit，其中4个由DirtyCow使用。另外两个是KingoRoot和Iovyroot exploit（CVE-2015-1805）。使用这两个rootkit的原因是它们不能将根ARM 32位CPU设备与DirtyCow一起使用。 感染流 ZNIU通常假装是色情应用程序，诱使用户点击恶意网站上的链接下载并安装ZNIU应用程序。安装ZNIU后，它将与C＆amp; C服务器通信以获取最新代码，并使用DirtyCow漏洞在本地提升权限并植入后门。 图2: ZNIU感染链 进入设备主界面后，恶意程序将使用手机用户的操作员信息，然后通过短信支付订阅扣除服务。通过SMS的服务提供商是一家中国公司。付费交易完成后，恶意软件会删除设备上的借记通知单。如果运营商不是中国，则无法通过短信与运营商完成交易，因此恶意软件将首先植入后门。 图3:恶意软件向运营商发送的交易请求代码 基于以上分析，恶意软件主要通过受感染用户的手机订阅中国运营商的付费服务。每个业务的交易金额很小，一般在20元左右，这一般不会引起用户的注意。 图4:短信交易成功截图 ZINU首先需要获取设备的root权限才能执行上述事务，并且需要注入后门并远程加载其他恶意代码以继续从受感染设备中获利。 ZNIU Rootkit 图5:网络上激活的ZNIU代码的Snipper 恶意软件可以将rootkit注入第三方应用程序而无需更改应用程序的其他组件，因此可以广泛分发。为了反转分析，恶意软件操作员加密并打包ZNIU的DEX代码。经过进一步调查，我们发现当用户设备连接到网络或连接到电源时，ZNIU将使用广播接收器激活漏洞利用代码。然后，恶意软件直接传输并执行本地恶意代码。 图6: ZNIU本机代码 ZNIU的本机代码逻辑如下： 手机设备的型号信息 从远程服务器获取正确的rootkit 加密漏洞利用 触发器利用率，检查结果，删除利用率文件 报告利用率是否成功 图7: ZNIU网络活动 远程服务器的URL和与远程服务器的通信是加密的。在用字符串解密后，我们发现恶意使用服务器，域名和服务器主机的详细信息都位于中国。 图8:后台管理服务器 下载成功后，在ZLIB的帮助下，rootkit'exp * .ziu'将被解压缩为'exp * .inf'。 图9: ZLIB解压缩ziu文件 rootkit所需的所有文件都打包在一个.nf文件中，该文件以ulnz开头，包含多个ELF和脚本文件。 图10: inf文件结构 ZNIU rootkit可以任意写入vDSO（虚拟动态链接共享对象）。 vDSO代码在内核环境中运行，没有SELinux限制。 ZNIU使用代码移动到vDSO到shellcode并创建一个反向shell。然后修补SELinux策略以删除限制并植入后门根shell。 图11:脏COW补丁vDSO代码 解决方案 从受信任的第三方下载应用程序 使用XX Mobile Guard等移动安全服务 来源 http://blog.trendmicro.com/trendlabs-security-intelligence/zniu-first-android-malware-exploit-dirty-cow-vulnerability