利用Linux “脏牛”漏洞的恶意安卓程序:ZNIU,来源竟是国内黑产团队

释放双眼,带上耳机,听听看~!

ZNIU家族

这是第一个利用Android平台漏洞的恶意代码家族

我认为随着这个家族被挖掘,将会有更多的与linux系统相关的漏洞会同样本安卓系统所利用,从而进行恶意攻击

目前根据相关信息,网上与该漏洞相关的样本已达1200种

目前发现这个漏洞可以会绕过SELinux并生成root级别的后门。通过观察六个ZNIU rootkit,发现其中有四个是利用了脏牛漏洞,另外两个用的是KingoRoot(CVE-2015-1805),使用KingoRoot和Iovyroot,是因为它们可以对ARM 32位CPU的设备进行攻击,而脏牛并不可以攻击该类设备。


ZNIU恶意软件通常被携带于恶意网站下载的色情apk中,用户被骗后并点击恶意URL,然后通过该URL将ZNIU下载下来。一旦启动,ZNIU将C&C服务器通信。同时会检测更新,并将更新同步加载到恶意程序种。同时,脏牛漏洞利用可以提升Root权限并生成Rookit后门。

随后,该应用会通过运营商的支付服务进行敛财。类似如下

并且,该恶意程序会将rootkit注入第三方应用程序,而无需更改其他组件。

这有助于大规模的恶意软件分发。

ZNIU主要代码逻辑如下:

1.收集设备的型号信息。

2.从远程服务器获取相应的rootkit。

3.解密漏洞。

4.触发器逐个利用,检查结果,并删除漏洞利用文件。

5.向C&C服务器报告漏洞是成功还是失败。

还发现远程攻击服务器的URL以及客户端和服务器之间的通信是加密的。

字符串解密后,可以发现域名和服务器主机位于中国。

C&C:

reg.oozclimb.com:5101

对应IP:

139.129.110.117

通过whois可以查询都相关信息

查询了一下QQ,看来是个小号

rootkit所需的所有文件都包装在一个文件夹中,文件名以“ulnz”开头,并包含多个ELF或脚本文件。

ZNIU rootkit可以任意写入vDSO(虚拟动态链接共享对象),该对象将一组内核空间函数导出到用户空间,以使应用程序执行得更好。

vDSO代码可以没有限制的在SELinux的内核上下文中运行。


ZNIU使用漏洞利用代码将shellcode写入vDSO并创建反向shell。然后,它修补SELinux策略以解除限制并植入一个后门ROOT shell。

所有与该恶意程序相关的hash都可以通过该pdf内获取到

https://documents.trendmicro.com/assets/pdf/Appendix-ZNIUFirstAndroidMalwaretoExploitDirtyCOWVulnerability.pdf

脏牛漏洞利用详细分析

http://blog.tetrane.com/2017/09/dirtyc0w-1.html

来自微博的消息

http://weibo.com/2255436844/FnHBwFWPb

ZNIU家族是一起国内黑产有组织的大规模的攻击行为,主要获利渠道为通过运营商增值业务吸费。初步统计数据显示该家族分发在野的样本总量及国内受害者数量均达六位数以上。我们稍后公布最新样本数据。twitter有人根据我们提供的exploit服务器进行了初步的人肉。

                                         

恶意样本下载地址

https://github.com/virqdroid/Android_Malware

来自趋势的详细分析

https://github.com/virqdroid/Android_Malware/tree/master/DirtyCow-trj

走过路过求个关注,长按按住二维码

本文源自微信公众号:黑鸟

人已赞赏
安全工具

漏洞利用工具包回顾与总结

2019-10-16 10:34:05

安全工具

海莲花组织向招聘单位发出应聘请求,并附上简历链接

2019-10-16 10:34:10

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索