一、背景

“海莲花”(又名APT-TOCS、APT32、OceanLotus),被认为是来自中南半岛某国的APT攻击组织,自2012年活跃以来,一直针对中国的敏感目标进行攻击活动,是近几年来针对中国大陆进行攻击活动的最活跃的APT攻击组织之一。

很多安全厂商在之前已经发布过多份关于海莲花的分析报告,报告的内容主要集中在PC端,攻击手段往往以鱼叉攻击和钓鱼攻击为主,移动端的攻击并不多见。然而,随着移动互联网的发展,一方面人们的手机逐渐出现两用性,除了包含使用者的个人隐私外,也往往会带有其社会属性,另一方面,智能手机的无线通信可以绕过内部安全监管设备,故而针对移动端的攻击也成为了整个攻击链条中的重要一环。下面,以发生于我国的一起移动端攻击事件为蓝本进行具体分析说明。

二、具体分析

1f2d68a4e9a44611835c91366b8e93a4.jpeg

表2-1 典型样本基本信息

该应用伪装正常应用,在运行后隐藏图标,后台释放恶意子包并接收远程控制指令,窃取用户短信、联系人、通话记录、地理位置、浏览器记录等隐私信息,私自下载apk、拍照、录音,并将用户隐私上传至服务器,造成用户隐私泄露。 

三、样本分析

该应用启动后会打开LicenseService服务:

fd72ffe9f9524a7f87e90ebc5c6b810d.jpeg

该服务会开启f线程用于注册和释放间谍子包:

6bdfbb568e8c4012bebc9ea79291d62f.jpeg

注册url:http://ckoen.dmkatti.com

dba57073daf04d3d8aa7fbfa16ad8e35.jpeg

动态加载间谍子包:

eace0d7d2fae4582a7544611454407b6.jpeg

682eedbe90e94105bac6c38a6f581131.jpeg

子包分析

主包反射调用com.android.preferences.AndroidR类的Execute方法:

fd961f3039124d2680036ee4769f47b1.jpeg

首先建立socket连接:

0747d6196ab14a39985e37c861715748.jpeg

socket地址:mtk.baimind.com

通过与手机建立通讯,发送控制指令和上传短信、联系人、通话记录、地理位置、浏览器记录等部分隐私信息。

cb93208a78b741889ca5dc898bd8e16f.jpeg

此外该间谍子包还建立了https通讯,用于上传录音、截图、文档、相片、视频等大文件。

3ad9b7725c3b4f7b950c4873bb11be09.jpeg

2471a223f7f4462680b56155e9cbd252.jpeg

https地址:https://jang.goongnam.com/resource/request.php,目前已经失活,该C2属于海莲花组织资产。

3f8b9f53877a4784a1c73aeb8c138dc1.jpeg

表3-1 CC所在位置及作用

如下图所示:首先,签名Subject中包含HackingTeam、Christian Pozz(Hacking Team中一个管理员的名字)字样;其次,代码中的注册功能,可以认定是对外出售的商业间谍软件;最后,根据后期Hacking Team泄漏资料来看,海莲花组织所属国家亦在其客户名单之中。

9d4a1b7ebdcb4a2195294ca4bf65383e.jpeg

四、拓展分析

根据注册CC的同源性,我们查找到如下样本:

a7bffcb9c563442985a7488bc4657feb.jpeg

表4-1 通过CC检索到的同源样本

与我们分析的样本不同,以上样本有了明显的功能改进,增加了提权功能,以45AE1CB1596E538220CA99B29816304F为例,对其assets目录名为dataOff.db的文件进行解密,解密之后的文件中带有提权配置文件,如下所示:

f9dbdc716be0426ba3aad7a368b92af3.jpeg

由此可见,在代码泄漏后HackingTeam组织的CEO表示“泄漏的代码只是很小一部分”的言论是有依据的,这也从侧面反映出网络军火商在一定程度上降低了APT攻击的门槛,使得网络攻击出现更多的不确定性。

同时我们也注意到,该系列恶意代码有通过国内第三方应用市场和文件共享网站进行的投递。

212fff30f6114eda9c2ef23d44c208ed.jpeg

表4-2 样本分发链接

五、总结

海莲花组织总是在演进变化,不断地通过更新其攻击手法和武器库以达到绕过安全软件防御的目的。除了武器库的不断更新,该组织也相当熟悉中国的情况,包括政策、使用习惯等。这不仅迷惑了相关人员,增加了其攻击成功率,同时也可能给目标受害群体带来不可估量的损失。

因此对于个人来讲,要切实提高网络安全意识,不要被网络钓鱼信息所蒙蔽;对于安全厂商来讲,更需要对其加深了解并持续进行针对性的对抗,提升安全防护能力,真正为用户侧的移动安全保驾护航。

六、附录(IOC)

5079CB166DF41233A1017D5E0150C17A

F29DFFD9817F7FDA040C9608C14351D3

0E7C2ADDA3BC65242A365EF72B91F3A8

C630AB7B51F0C0FA38A4A0F45C793E24

CE5BAE8714DDFCA9EB3BB24EE60F042D

BF1CA2DAB5DF0546AACC02ABF40C2F19

D1EB52EF6C2445C848157BEABA54044F

45AE1CB1596E538220CA99B29816304F

50BFD62721B4F3813C2D20B59642F022

86c5495b048878ec903e6250600ec308

780a7f9446f62dd23b87b59b67624887

DABF05376C4EF5C1386EA8CECF3ACD5B

86C5495B048878EC903E6250600EC308

F29DFFD9817F7FDA040C9608C14351D3

C83F5589DFDFB07B8B7966202188DEE5

229A39860D1EBEAFC0E1CEF5880605FA

A9C4232B34836337A7168A90261DA410

877138E47A77E20BFFB058E8F94FAF1E

5079CB166DF41233A1017D5E0150C17A

2E780E2FF20A28D4248582F11D245D78

0E7C2ADDA3BC65242A365EF72B91F3A8

315F8E3DA94920248676B095786E26AD

D1EB52EF6C2445C848157BEABA54044F

DABF05376C4EF5C1386EA8CECF3ACD5B

AD32E5198C33AA5A7E4AEF97B7A7C09E

DF2E4CE8CC68C86B92D0D02E44315CC1

C20FA2C10B8C8161AB8FA21A2ED6272D

55E5B710099713F632BFD8E6EB0F496C

CF5774F6CA603A748B4C5CC0F76A2FD5

66983EFC87066CD920C1539AF083D923

69232889A2092B5C0D9A584767AF0333

C6FE1B2D9C2DF19DA0A132B5B9D9A011

CE5BAE8714DDFCA9EB3BB24EE60F042D

50BFD62721B4F3813C2D20B59642F022

C630AB7B51F0C0FA38A4A0F45C793E24

810EF71BB52EA5C3CFE58B8E003520DC

BF1CA2DAB5DF0546AACC02ABF40C2F19

45AE1CB1596E538220CA99B29816304F

5AF0127A5E97FB4F111ECBA2BE1114FA

74646DF14970FF356F33978A6B7FD59D

DF845B9CAE7C396CDE34C5D0C764360A

C20FA2C10B8C8161AB8FA21A2ED6272D

641F0CC057E2AB43F5444C5547E80976 

七、致谢

感谢奇安信红雨滴团队(原360企业安全威胁情报小组)对于因sinkhole造成的域名归因疏漏的热心指正。

*本文作者:AVLTeam,转载请注明来自FreeBuf.COM

近期安天移动安全和猎豹移动联合捕获到病毒gpSystem,该病毒植入在应用程序private,程序运行后便隐藏图标,进行下载提权相关文件、联网获取数据模拟点击注册google账号、上传用户账号、固件等信息等一系列恶意行为,造成用户资费损耗和隐私泄露风险。目前安天移动安全联合猎豹移动已实现对该病毒的检测查杀,建议用户安装猎豹安全大师等集成安天移动安全反病毒引擎的安全产品,定期进行病毒检测,一旦被感染需及时卸载恶意应用。以下是针对该病毒的详细分析。

一、样本基本信息

0.png

该恶意应用被下载安装后将隐藏图标,下载提权相关文件、私自提权,解密静默安装恶意程序到系统目录,修改多个系统api调用的返回值,联网获取数据模拟点击注册google账号,还会私自下载恶意子包,上传用户账号、固件等信息。

二、恶意信息流程图

02_副本.png

三、动态分析

运行后多次申请root权限:

03.jpg

四、样本分析

程序运行,隐藏图标:
image006.png

获取root权限:

image007.png

image008.png

联网下载提权模块:

image009.png

执行提权方案:

image010.png提权后安装apk:

image016.png解密子包,启动两个子包服务:image012.pngimage013.png

拷贝到系统目录和sdcard:

image014.png

子包分析:

image015.png

androidntv(gpSystem): MD5:95EEA5CD39A722507D4781AB3067E5F8 dmrdroid(com.android.dmr): MD5:62D26656061AB328A079FB6FB4E84460 gpSystem:      

启动SuService:

image016.png

hook多个系统函数: 

image017.png

判断是否能够注册google账号: 

image018.png

判断辅助功能是否启动,用来模拟点击注册google账号: 

image019.png

开始hook: 

image020.png

hook多个系统api,修改返回值,以防止影响自动注册: 

image021.png

hook之后启动注册界面: 

image022.png

会先结束其他影响注册的服务,然后am命令启动注册界面: 

image023.png

界面启动之后,RegisterAccessbilityService通过监听包名“com.google.android.gsf.login”触发注册界面启动事件: 

image024.png

判断sdk版本,使用不同的方式注册google账号: 

image025.png

通过辅助功能获取界面上所有控件信息,之后联网获得注册数据: 

image026.png

判断是否是测试版本,测试版本则注册测试账号,不是测试版本则联网获取注册数据: 

image027.png

注册google账号: 

image028.png

通过辅助功能模拟点击: 

image029.png

com.android.dmr:

MMLogManagerService服务中,联网获取下载配置信息: 

image030.png

image031.png

下载并加载子包: 

image032.png

下载子包:http://www.supportdatainput.top:8080/modules/abroad.zip 

image033.png

加载子包: 

image034.png

abroad.zip分析

拷贝用户账号等数据文件到指定目录,解析数据并上传,上传cc为:http://game.zxcvbnmasdfghjkl.xyz:8080/game/api 

image035.png

获取上传数据: 

image036.png

拷贝用户账号信息等文件到指定目录: 

image037.png

从/data/system/users/0、/data/data/com.google.android.gms、/data/data/com.google.android.gsf、/data/data/com.android.vending这4个目录拷贝数据库或配置文件,主要从这些文件获取用户账号、authtoken(授权令牌)、gcm、固件、GooglePlay等相关信息: 

image038.png

解析文件格式后,将数据上传服务器: 

image039.png

收集用户账号信息等数据可能用于配合gpSystem注册google账号相关。

相关CC: 

40.png

五、总结

该病毒首先通过联网获取root方案,下载并执行提权模块,随后释放两个恶意程序,拷贝到系统目录以防被卸载。恶意程序通过辅助功能模拟点击注册google账号,并且通过修改系统函数返回值(忽略按键、锁屏无效等),防止其影响注册流程,以提高注册成功率。同时还会下载恶意代码,收集用户账号、authtoken(授权令牌)、固件、gcm、GooglePlay等信息,可能用于配合自动注册相关。 近年来,各种黑色产业链逐步形成,黑产的攻击手段也越来越专业化,会利用一系列手段保护自己,对此安全厂商应该持续关注并提升对抗能力,为移动安全保驾护航。

*本文作者:AVLTeam,转载请注明来自FreeBuf.COM

一、概述

近期安天移动安全和猎豹移动联合捕获到间谍家族Trojan/Android.testServiceSpy的一些新的病毒样本,截至目前,捕获到的样本9成以上都是名为”testService”的测试样本,故称之为testService间谍病毒。从时间节点上来看,近年我们也有陆续捕获到该家族的一些其他样本,如Angel、Angel001、testzhixing、True、helloworld等。在最新发现的样本中,有3个具有钓鱼性质的应用,我们对其进行了详细分析,以期还原这个家族样本的技术细节。

二、恶意行为分析

2.1 恶意应用

在我们捕获到的大量的样本中,大多数是类似测试的Demo样本,但是其中包含3个明显具有钓鱼性质的应用,具体为Notepad、ScrollBook(禁书网)和中国化工网。

image001.png

以ScrollBook(禁书网)应用为例,我们发现该应用未经用户同意,在后台运行时采集包括位置信息、通话记录、短信、通讯录等用户敏感信息并秘密上传。

image003.png

分析发现,这些应用的开发群体恶意攻击倾向较为鲜明,且应用名称及图标具有强烈的钓鱼伪装性质,用户一旦安装将存在严重的隐私泄露风险。

2.2 编码特征

我们捕获到早期的部分样本是不采用任何处理手段的,CC直接明文硬编码在代码中,但是也依然存在大量对明文的CC进行处理的样本,从时间节点上看,我们推测样本进行了多次迭代。

该病毒家族早期对CC的处理方式:先进行BASE64,然后再执行如图1所示的编码处理:

image005.png

图 1 – 编码函数1

该病毒家族后期对CC的处理方式:使用图2的编码函数来替代BASE64然后进行DecryptStringabc123()解码,该系列样本并未使用太过复杂的加密编码手段,可以看到,都是类似一些”编码”的处理,值得注意的是这些编码的技术在逐渐加强。

image007.png

图 2 – 编码函数2

2.3 通信过程

恶意应用会在首次运行和开机运行之后启动TService服务,TService则会立即启动CMainControl类开启一个用来执行恶意行为的线程:

image009.png  在CMainControl类中会先通过postPhpJob()方法上传手机的一些硬件信息进行“注册”:

image011.png  这些硬件信息将会通过post请求进行上传:

image013.png

在上传文件的http->post方法中使用“ahhjifeohiawf”的字符串作为boundary分隔符:

image015.png

如果“注册”成功,远程服务器将会下发后续用于通信的IP和Port信息:

image017.png

注册完成后将会利用远程服务器返回的IP地址和端口开启一个Socket长连接:

image019.png

恶意应用采集到的隐私信息将会通过Socket发送到远程服务器,从Socket中获取输入、输出流以便用来进行后续通信:

image021.png

在连接建立后先执行一次mSendReport()操作,该操作会构造”ejsi2ksz”+Mac+IP的byte数组,然后进行一些类似校验和的字段填充操作:

image023.png

然后对byte数组进行简短的加密操作之后进行发送:

image025.png

mRecvPkgFun()负责解包从远程服务器通过socket流传递过来的信息:

image027.png

解析远程发送过来的控制指令,并根据指令执行相应的恶意行为:

image029.png

2.3 通信指令

我们注意到,这些指令在代码中并未使用到,只是硬编码在CCommandType类当中,而且部分指令的实现部分没有编写,我们猜测该家族可能还会持续升级迭代版本。

30.png

三、总结

该间谍软件没有使用常规的http/https方式进行远程通信,而是使用了socket的方式进行通信,这样在一定程度上可以规避流量的查杀,远控的设计精细程度具有一定的高度。早在2012年,我们就捕获到了该家族进行隐私窃取的Demo样本,并在漫长7年时间中陆续捕获了该家族流出的大量测试样本,其中在2014和2016年分别捕获到两个疑似已经投放到市场中的该家族的间谍应用,最近一次捕获是在2017年底,最新的样本中关键代码基本未变,但是从整体代码结构可以看出其编写更具规范性和逻辑性,我们推测该家族可能还会持续迭代样本以在Android平台进行针对性的隐私窃取。

自2012年至今,该间谍家族已存在7年之久,纵使其恶意攻击技术不断改进、恶意病毒不断蔓延,却也迎来了他的“七年之痒”,目前安天移动安全联合猎豹移动已实现对该病毒的检测查杀,建议用户安装猎豹安全大师等集成安天移动安全反病毒引擎的安全产品,定期进行病毒检测,抵御恶意病毒攻击,保护个人信息安全。

隐私窃取目前仍是各个国家面临的最严重的网络安全威胁,从早期的PC平台到愈演愈烈的Android平台,受助于移动平台的流行,越来越多的攻击行为将战场转移到了Android平台,这对移动安全厂商的查杀能力提出了新的、更高的要求。安天移动安全深耕行业8年,反病毒能力得到第三方测试机构和合作伙伴的认可,对恶意病毒具有全覆盖的查杀能力。

附录:SHA-1

6A589EF09A6A631D366D744D7E4478434B200D0B

F62C302409763241F4BFB2FCB758F4A4CEA2C090

D3602D88D20D0FA1598A9FDBC0758DD4CF7FACB2

EE01EBE1C4036D7F1FCCD5041F0E5652BF64FE3F

10F69A4C8C030781805FFD69DCFCA7469E6E9782

14E9F12C6C5F5BAD6ED5A3D15CBB3349E5E3D64E

7BC025021E76A9660222961D32F8A4ED1119A78E

D8E9205E1ECE91A004A22267820E90C12D976743

F4D4C29F59211767C14D44ED10B0F5B4F8F3EEB0

06DB46DB51071A7689D11CC2B11C7C873F4C0C4C

A781128ED4C728681A686993AE5D5BCAD1F01F6A

45372FD67F090111E0E1AAC1DDA674693BDA3807  

* 本文来源:avlsec,作者:AVLTeam,转载注明来自FreeBuf.COM

一、事件背景

2018年3月14日,国外安全厂商Checkpoint发布报告,声称自2016年来近500万手机设备感染了名为RottenSys的恶意代码,并且指出包括华为、OPPO、vivo、魅族、金立等在内的国产手机设备被感染。随后国内科技媒体进行也了广泛的翻译和转载。鉴于此,安天移动安全进行了深入的分析。

二、样本基本信息

典型样本信息如下:
01.png恶意行为描述:

该程序包含风险代码,可在后台私自下载恶意插件并静默安装,进行远程控制命令以及对用户手机进行root,从而频繁推送广告并进行应用分发。消耗用户流量资费,影响用户体验。

三、详细分析

安天移动安全分析得出,该恶意软件家族进行了明显的技术升级,进行了较强的技术对抗。攻击手段主要分两个阶段:第一阶段只是单纯的私自下载恶意广告插件,推送广告;第二阶段植入了提权功能,可加载提权代码、获取root权限、执行lua脚本,形成僵尸网络,同时还抹去了文件生成时间和进行文件拆分,以防止分析人员进行深入关联。

攻击流程示意图如下:

02.png

恶意代码文件结构如下图所示:

03.png

获取root方案的地址为www.uuyttrtf.com:880 ,注册证邮箱为[email protected],注册时间为2016年7月(这与安天移动安全捕获和查杀该样本的时间保持一致)。恶意代码上传设备信息获取root方案之后,将不断进行尝试,一旦获取root权限,则继续从该网址获取lua脚本,并且进行执行,生成僵尸网络,以及根据指令进行下一步的恶意行为。此外,我们进行了深度关联分析,得到其家族部分CC如下:

04.png从中我们可以看到该恶意代码的工作准备从2016年初就开始进行,到2016年9月,整个黑色产业团伙处于尝试阶段,仅进行域名注册、恶意代码植入等前期准备工作,并没有大规模的进行恶意攻击,此后开始逐步感染并形成了两次感染高峰。具体事件时间轴如下图所示。

05.png

四、安天解读

该恶意软件家族整体生存周期较长,自2016年1月,其背后的黑产团伙便开始注册域名并准备相应的攻击活动。从数据上来看,该恶意软件家族累积感染量达到百万级别,受害面较广。不过,以安天移动安全为代表的安全厂商在病毒出现初期就已具备检测能力,并且安天移动安全已与国内主流手机厂商在移动终端病毒检测与防护方面进行合作,国内主流手机厂商均具备对该恶意软件的检测和防护能力。

同时该恶意软件家族活跃和对抗周期较长,所谓的“感染500万”台设备并不是在短期完成的,其时间跨度接近两年,通过安天移动安全的终端监控情况来看,总体的设备感染量级达到百万级别。同时我们在手机出厂ROM和应用市场渠道中并未发现大规模感染数据,这说明主要问题出现在手机销售流通环节。

渠道中的刷机和非法预装是智能手机行业面临的较大挑战,各大手机厂商及安全公司综合运营技术、管理、法律等手段加强对渠道的管理,并且在2017年,泰尔实验室、OEM厂商、安全厂商等联合成立移动安全联盟(MSA),以联合各方力量,加强移动终端安全,共同保护消费者权益。

最后,我们在此希望海外相关安全机构能够更加公正、客观、严谨地描述中国移动产业的安全状况,切勿夸大事实,造成消费者恐慌。

*本文作者:AVLTeam,转载请注明来自FreeBuf.COM

3稿(1).jpg

一、概述

近期,ZipperDown漏洞被披露,该漏洞影响Android和iOS两大平台,其中iOS应用市场多达10%的应用存在该漏洞,且不乏多款热门应用,引发业界强烈反响。安天移动安全第一时间启动对该漏洞的应急响应,希望客观公正地反映其对支付行业的影响。调查研究发现,该漏洞是由于开发人员未对压缩包中的解压路径进行校验,导致攻击者可通过构建恶意压缩包进行路径穿越攻击,且行业中有超过3成的应用存在该漏洞。然而该漏洞的真实影响还需具体结合应用业务进行排查,不应过分夸大,更不应忽视,安天移动安全将免费提供技术支持携手相关各方联手进行安全排查,将风险降至最低。

二、漏洞预警说明

Zip压缩包路径穿越简述

Zip压缩包是一中常见的压缩文件格式,Zip压缩包支持打包文件中的文件名包含上级路径。如下图所示,压缩包update.zip中包含了一个文件libpay.so,但是该文件的路径为“……\”,当该文件被解压时,如果没有进行相应处理,那么该文件将会被解压到相应的上级目录中,实现了路径穿越,即真实解压后,其路径为[预期解压位置]……\libpay.so,穿越了当前预期解压位置,到达了攻击者想要构造的任意路径。

image005.png

“ZipperDown”漏洞描述

当前大量应用均会读取zip压缩包进行相关业务,最常见的场景就是从服务器下载压缩包,进行资源、代码热更新。通过Zip压缩包路径穿越描述可知,如果攻击者通过技术手段,如远程劫持或本地替换等方式将应用加载的zip压缩包替换成存在路径穿越的恶意压缩包,而应用又未对解压文件进行路径判断,攻击者便可以对应用资源、代码进行任意篡改、替换,从而实现远程代码劫持等高危操作,危害应用业务场景。

分析发现,“ZipperDown”漏洞是一个应用层面的漏洞,应用如果没有对解压文件进行路径穿越问题的防护,就存在“ZipperDown”漏洞。

“ZipperDown”漏洞对支付行业的影响

本次ZipperDown漏洞事件发生后,安天移动安全第一时间启动该漏洞的应急响应流程,同时对支付行业应用进行了初步的安全检测,希望客观公正地反映漏洞对支付行业的实际影响。

目前,在智能POS支付类应用、非支付类应用以及手机相关支付类应用中,均发现部分应用存在ZipperDown漏洞,虽然智能POS应用较之手机应用业务场景相对简单,但是结果显示仍有近3成的智能POS应用存在相应安全隐患。

02.png

安天移动安全经研究深度分析后认为,该漏洞的真实影响还需结合应用自身业务场景进一步排查,不能简单粗暴判定该漏洞是否一定会真实危及业务场景。同时,有部分应用是由于采用第三方库而引入该漏洞,其风险也需要进一步评估后跟第三方库开发者沟通。

三、漏洞原理分析

下图为存在“ZipperDown”漏洞的一个应用代码示例。
image007.png

可以发现,当在尝试解压的时候,对于zip包中的文件,其路径名可能存在路径穿越问题。当应用加载存在路径穿越的恶意压缩包时,由于缺少对路径的校验,使得恶意压缩包中的内容通过路径穿越,覆盖原应用文件。以libpay.so为例,攻击者构建的update.zip中存在路径穿越的恶意运行库libpay.so,解压后替换本地原来的库文件,就成功的在当前程序中插入了恶意运行库,进而实施信息窃取、业务劫持等操作。

四、修复建议

针对“ZipperDown”安卓高危漏洞的威胁态势,安天移动安全建议从排查和修复两方面入手,先对市场运营方所有应用进行漏洞检测和分析,随后结合业务场景进一步明确漏洞危害以及制定相应修复建议。具体策略建议如下:

step1:针对应用市场已上架和将上架的应用,需要进行应用“ZipperDown”漏洞专项检测,确定其是否存在 “ZipperDown”漏洞,保证源头安全。安天移动安全可免费提供检测工具和技术支持。

step2:针对存在“ZipperDown”漏洞的应用,需要结合业务场景进一步分析,从而明确漏洞危害,并且制定相应修复建议。参考修复建议如下,开发者可以根据自身业务场景需求,选择最适合自身业务的策略。

·应用在加载外部zip压缩包时,需要对压缩包中解压路径进行校验。

image009.png

·应用在加载外部zip包,可以采用校验机制,确保加载的zip包确实为合法zip,没有被替换。应用下载zip包的通信信道,采用安全通信通道确保不存在被篡改、劫持、替换的可能。

此外,针对由第三方库引入而导致的风险,需要开发者协同第三方库开发者沟通共同制定修复方案。安天移动安全可免费提供咨询服务和技术支持,携手市场运营方、开发者以及第三方库开发者共同解决“ZipperDown”漏洞安全隐患。

五、总结

zip文件路径穿越并不是一个新问题,早已被安全分析人员披露,但是一直未引起行业广泛重视。本次ZipperDown漏洞爆出,披露的相关数据说明“安全无小事”,即使很小的一个安全隐患,如果没有严肃认真对待,也可能引发严重的安全后果。同时第三方库导致ZipperDown漏洞的引入,也说明如今安全已不单单是一个单点问题,它需要生态的参与各方一同携手联动,共同构建安全生态,避免风险的引入。

网络安全和信息化是相辅相成的,安全是发展的前提,发展是安全的保障,安全和发展要同步推进。智能商业终端作为金融领域中的关键信息基础设施,无疑是是网络安全的重中之重,因而产业的参与各方应当携手多方联动,切实做好国家关键信息基础设施安全防护。

近年,安天移动安全积极涉足智能POS防护领域,以多年的移动安全技术与经验为基础,通过与多家知名智能POS厂商和大型支付机构的合作,针对智能POS提出了一套完整的安全解决方案,在威胁的事前、事中和事后阶段形成全生命周期的安全防护,为智能POS终端厂商及支付机构提供高效的移动安全产品与服务,为个人消费者提供全方位的支付安全防护。

* 本文作者AVLTeam,转载注明来自FreeBuf.COM

前言

2016年9月,安全厂商Cyberkov发布了名为利比亚天蝎的安全报告[1],报告中指出,一批恶意软件通过社交程序Telegram广泛传播,主要针对有影响力的社会名流和政治人士。当时,安天移动安全和猎豹移动进行了持续跟进,并发现该恶意软件进行了持续的更新和改进,攻击的目标国家也从利比亚转移到了其他国家和地区。该系列恶意软件根据不同的攻击目标进行精心的伪装,充分了解攻击目标的风俗文化和手机使用习惯,诱导目标群体安装,获取大量的隐私信息,具有很高的组织性和隐蔽性,以下我们将对该攻击进行详细的说明,以期能够对事件尽可能的勾勒。

1.简要分析

安天移动安全与猎豹移动联合发现的这批恶意软件,皆为商业RAT软件,主要分类有JSocket RAT ,Droidjack RAT ,Alienspy RAT,该组织通过这些商业RAT软件攻击目标用户,实施隐私窃取。其仿冒对象有系统应用、工具应用、生活应用、新闻应用、宗教应用、社交应用等,并对攻击目标有着深入的了解,具体如下表所示。

通过捕获的样本可以发现该系列病毒除了攻击利比亚地区,还活跃在伊拉克、巴基斯坦、印度、土耳其等国家和地区。可见,该组织有着广泛的利益诉求,对热点地区有着深入的关注。

2.攻击事件轴

该组织的主要活动时间为2015-2016年,在对利比亚目标进行攻击的同时,也进行着其他地区的情报窃取,是一起有着广泛传播的事件。同时我们也观察到,在沉寂一段时间之后,该组织下的恶意软件又开始活跃。

3.恶意代码原理分析

MD5:D555FB8B02D7CC7D810F7D65EFE909A0

恶意模块包结构:

通过MainActivity加载Controller类:

Controller这个类为主要恶意类,用于解密出C&C地址和初始化并加载隐私窃取的恶意子模块:

私自摄像:

子模块包括窃取用户短信、联系人、通话记录、地理位置、浏览器历史记录、手机基本信息、WhatsApp软件信息记录,私自录音、监听通话、驻留手机系统等行为。

JSocket RAT 原理分析

MD5:3FDCB70A70571A5745F4EE803443FEBC

该应用一般会在AM文件设置一个广播和服务用于启动恶意模块:

恶意模块包结构:

通过MainService开启主要攻击线程:

从C&C接收远控指令,解析指令执行相应恶意行为:

   

指令包括窃取短信、联系人信息、通话记录、浏览器书签、GPS地理位置信息、wifi信息、手机设备基本信息、社交应用信息,私自录音、录像、拍照、下载其他软件、发送短信等行为。

4.总结

近几年,移动端的定向攻击越来越多,商业间谍软件的低门槛化也使得攻击门槛有了大幅的降低。获取高价值的具有个人身份属性的信息,成为恶意攻击中的重要一环;与此同时,由于移动设备的边界属性和高社会、高隐私属性,一旦攻击成功,极有可能导致攻击结果出现雪崩效应,损失不断扩大。

而针对高价值用户进行的定向攻击往往是移动威胁对抗中的经典长尾问题,尾部安全事件由于其受众明确、攻击意图直接、涉及用户重度隐私的特点,往往给目标受害群体带来了不可估量的损失。对此安全厂商更需要密切关注并持续提升长尾威胁的对抗能力,真正为用户侧的移动安全保驾护航。

参考资料:[1] https://cyberkov.com/wp-content/uploads/2016/09/Hunting-Libyan-Scorpions-EN.pdf

*本文作者:AVLTeam,转载请注明来自FreeBuf.COM

序言

在移动产业发展的巨大变革过程中,信息安全的“攻”与“守”之道往往也是共生并进的。2017年,移动安全和威胁对抗不断迈入新的阶段,而所谓“方兴未艾”与“暗流涌动”,也能够很好地体现于此:

针对移动网络,除持续对普通用户信息安全造成影响的传统电信诈骗之外,更衍生出了基于仿冒应用、短信拦截马、短信蠕虫等针对智能手机用户的精准电信诈骗,且近年来俨然成为一种常态化威胁,新增的受害用户数量不可小觑;

近一两年,随着PC端出现诸如WannaCrypt0r等目标明确、影响广泛的勒索软件,移动终端也出现影响较广的加密勒索软件、隐私窃取及控制软件等,不仅对用户数据安全造成致命威胁,给用户带来各种形式损失,还可能使用户终端设备沦为僵尸网络节点,遭到攻击者的全盘控制,影响极为严重;

部分商业利益或政治因素驱动的移动终端恶意软件(往往以潜伏的APT或类APT形式被发现)出现更为频繁,这些恶意软件往往具备攻击的精确性、战术性及较完善的攻击链逻辑,在考验基于“病毒特征库”启发检出机制及各方情报收集、分析及预警能力的传统威胁对抗模式的同时,可能导致较为重要的商业秘密或较高密级的国家基础设施信息持续性泄漏,且往往在发现时就已造成难以衡量的恶劣影响。

起:基于数据的总体形势分析

本章节中,将以安天移动安全云端安全监测引擎在17年所捕获的各类数据为基础,就各视角进行筛分统计,并从宏观角度作出初步分析。

1.1 恶意应用数量整体增长趋势

image001.png
图1-1:2011年-2017年 Android 恶意应用数量增长趋势

如上图所示,恶意样本量自2014至2017年间均呈现出倍数或近倍数级的年度增长,而2017年恶意样本数量就增长趋势来说有所放缓,相对2016年而言并未再次产生倍数级的增加,但其近千万量级的绝对数量仍然不可掉以轻心,尤其是随着当前互联网游戏、直播、办公及线下服务等应用的发展成熟,这些应用受到各种形式恶意应用影响的可能性也就越大,需要格外留意。

1.2 影响用户数最多的恶意应用 TOP 10

image002.png 
表1-2 2017年影响用户数最多的恶意应用 TOP 10

安天移动安全团队从2017年云端大数据监测结果中就“恶意应用”进行筛选统计,并对影响用户数最多的10个应用进行用户数量统计(如上表所示)。发现,无论恶意应用是伪装或捆绑在游戏或是色情应用之上,会安装这些目标应用的用户都符合“不具备可疑应用甄别能力”以及“对相应主题应用较无戒心”的特点;而这些恶意应用的行为类别,无论是恶意扣费或是隐私窃取,相对具备远程控制行为的恶意应用,其往往对系统本身运行速度影响较少,且具备令受害用户“事中难以感知,事后发现时延较长”的特点。这将可能给攻击者带来更多的不法利益,一定程度上使得更多的恶意应用变种不断出现。

1.3 恶意应用行为类别分布趋势

image003.png
图1-3:2016、2017年恶意应用行为类别分项统计图

安天移动安全针对2016、2017年云端引擎监测捕获到的所有恶意应用的行为进行统计发现:相比2017年各类别恶意行为均有增长,其中流氓行为最为突出,两年在恶意行为类别中占据比重均接近50%;且持续对用户信息安全产生较大影响的TOP 5恶意应用行为包括流氓应用、资费消耗、恶意扣费、隐私窃取类及远程控制。值得一提的是,这五个类别的恶意应用往往具备多个功能模块,例如某一扣费应用往往也可能具备恶意传播的模块,故从占比来看,仅具备诱骗欺诈、系统破坏及恶意传播模块的应用相对较少。

1.4 移动应用及恶意代码加固趋势

图1-4.png
图1-4:2013-2017 移动应用及恶意应用代码加固技术部署趋势示意图

上图是安天移动安全团队就云端安全引擎在2013至2017各年所捕获到的加壳正常应用样本及加壳后的恶意应用样本(即加壳黑样本)数量进行统计后绘制的趋势示意图。从中我们可以发现,恶意应用对加壳技术的运用在2014年之后就进入较为普遍的状态。在2014-2015年及2015-2016年的两个时间区间内,我们也察觉到了加壳恶意应用绝对数量的快速增长;而2016年至今,我们每年捕获的加壳恶意应用数量均超过了正常应用数量的50%,可以从一个角度说明加壳技术遭到恶意应用使用的广泛性;但同时,由于加壳技术(尤其是私有加壳技术及商业加壳技术)会导致各类杀毒引擎更难对恶意代码进行检出,可能导致一定程度的威胁增加,加之2017年加壳恶意应用的检出数量仍在百万级,检出数量的变化趋势也不容乐观。安天移动安全团队倾向于认为,代码加固技术在移动恶意应用上遭到滥用所带来的威胁仍然处在高位,且短时间内将保持这一威胁水平。

1.5 恶意仿冒应用数量增长趋势

image008.png 
图1-5:2011-2017 恶意仿冒应用数量增长趋势示意图

如上图所示,自2016年底开始,每月新捕获的恶意仿冒应用开始突破1000个;2017年全年,平均每月新捕获的恶意仿冒应用数量达到了五位数;全年的高峰发生在2017年3月,该月新捕获的恶意仿冒应用为44651个;当前恶意仿冒应用每月新增量仍然具备波动增加的趋势。结合当前捕获的每月新增量趋势,安天移动安全认为,恶意仿冒应用应引起各类服务运营商及外部安全公司的高度重视,同时作为普通用户,应加强应用甄别能力与基本的安全意识;针对较重要的服务应用,应尽量从官方网站渠道获取确保安全的应用软件,而不是任何第三方应用市场;同时利用外部杀毒软件及框架级安全软件保护移动设备安全。

1.6 短信拦截木马数量增长趋势

image009.png
图1-6:2014-2017 短信拦截木马数量增长趋势示意图

如上图所示,每个月都有超过1000个短信拦截木马被捕获,标志着这一类恶意应用的威胁形势依然严峻;同时,近两年短信拦截木马在每年农历春节所在及相近月份都发生了爆发性的增长,尤其是2017年,1月至3月捕获的短信拦截木马数量是全年其他月份捕获总和的2.5倍;2017年2月新捕获的短信拦截马77637个,为监测以来最多;短信拦截木马每月新增量仍然具备波动上升趋势。作为对普通用户的警示,应注意对类似“业务热点时间段”所可能产生的较高信息安全风险保有一定防范意识,定期为移动设备,尤其是安装了各类涉及金融及隐私信息处理应用的移动设备进行病毒查杀,同时利用外部杀毒软件及框架级安全软件保护移动设备安全。

承:移动安全焦点问题梳理

本章节中,将通过对当前影响较为显著的移动安全问题进行梳理分析,并对其在2018年的风险给出发展方向方面的预测,供您参考。

2.1 互联网业务数据风险及影响日益明晰

当前互联网所承载的To C(对用户)服务类型日益增加,各类实际业务覆盖面及用户粘性也日益加深,尤其像“分期借贷”、“信用”、“金融”等新兴类目的互联网服务,其涉及的用户数据类型及维度杂糅到前所未有的地步。这不仅使得传统信息安全预警下的”业务数据风险”转嫁到”用户数据风险”的可能性相较先前变得更高,也使得各业务系统中不同类型的的用户数据、用户行为数据及用户特征数据成为了对用户本体造成极大安全风险的”定时炸弹”。

鉴于目前互联网服务相关业务数据的风险已处于较高位,同时其风险可控程度可能由于数据体量扩充(TB级扩充到PB级甚至EB级)、数据架构改变(传统数据存储变更为以大数据仓库为中心)等因素而同步降低,安天移动安全团队倾向于认为,2018年类似的风险仍将维持较高或略有升高的水平。

2.2 体系化的电信诈骗手法层出不穷

针对智能移动终端设备,除去过往频发的传统电信诈骗及2G/3G伪基站诈骗之外,随着近年来第三代UMTS/第四代LTE高速蜂窝通信网络在我国境内的飞速发展,更衍生出了基于仿冒应用、短信拦截马、短信蠕虫等针对智能手机用户,依托移动端应用进行的精准电信诈骗,其手法“层出不穷”。安天移动安全团队在对一部分短信蠕虫受害用户的感染来源进行抽样统计的过程中发现,熟人次生传播成功的占比甚至达到70%(如下图所示)。

image011.png 
图2-2:短信蠕虫受害用户感染源抽样统计

考虑到智能移动终端设备用户群体涵盖面极广,其中较大比重的用户安全意识较为淡薄、且缺乏对相关恶意应用的甄别能力,而当前任何形式的反病毒引擎也较难做到“万无一失”,故安天移动安全团队倾向于认为,基于仿冒应用、短信拦截马、短信蠕虫的精准电信诈骗在2018年仍然会是较大的安全威胁来源。

2.3 传销诈骗“互联网化”趋势不可忽视

出于这类恶劣行为对公共安全及社会长治久安可能带来的潜在负面影响,安天移动安全团队在2017年底编写了《2017我国移动端传销诈骗类威胁态势分析报告》(详见http://blog.avlsec.com/2017/12/5083/paper/)。就团队在报告形成过程中的初步分析能够发现,截止2017年底,仍然有大量可能涉及传销及相关诈骗活动的团伙以各种形式在我国互联网上活跃,其中又以移动端应用及专题网站(包含PC端及为移动端优化过的子站点)为甚,其受害用户范围较广,数量较多,造成了十分恶劣的影响。

尽管近年来公安机关及相关政府部门不断加大对各类传销行为,尤其是涉及互联网的新式传销诈骗行为打击整顿的力度,并向公众频繁发布警示,但每年仍有大量受害用户遭受数字总和惊人的各色互联网传销骗局。与此同时,传销诈骗团伙的诈骗手段亦在不断升级,不仅将传统基于商品的传销手法照搬到了互联网上,更是融合了近年来诸如虚拟货币、手机游戏、在线兼职、“微商”等容易使一般用户产生兴趣继而毫无戒心上当受骗的领域。与此同时,传销诈骗受害人群一般在遭遇此类诈骗事件时都不具备或较少具备辨别能力。鉴于此,安天移动安全团队认为,不仅2017年传销诈骗“互联网化”的趋势不可忽视,2018年这一类活动仍然会为部分普通移动用户带来安全隐患,需要多方力量进行共同防御和对抗。

2.4 “共享”服务大潮下的安全风险触目惊心

image014.jpg 
图2-4:时下火热的各类“共享”服务(图片来自互联网)

2015年被社会各界公认为是中国“共享经济”的元年。自2015年至今,以出行、租赁、人力等领域为代表的共享经济在全国各地落地生根,高速发展。目前,大多数的共享服务为使用户体验更加快速便捷,基本都使用了手机客户端作为其服务的唯一承载形式,也即“用户必须下载安装,并使用手机客户端来使用共享服务”,且其中大部分服务均采取“手机号验证注册并登录->用户凭借证件(或人脸识别等)实名认证->扫码使用共享服务”的业务逻辑,其各环节易被恶意攻击者利用,存在用户敏感信息泄露、网络钓鱼等风险。

考虑到使用“共享”服务的大多数普通用户不具备对类似安全问题的发现能力,能够提前、快速、彻底解决类似安全问题的服务提供商属于极少数,而当前大多数形式的手机安全软件也并未针对其中每一类风险作出有效的提前预警及拦截,故安天移动安全团队倾向于认为,“共享”服务隐藏的安全风险,及其给用户带来的安全隐患,将会在未来较长一段时间内作为用户信息安全的一大重要威胁源。

2.5 Apple iOS“信息安全铜墙铁壁”地位不保

近年来,由于频发的各类0day漏洞、专门针对iOS的商业木马、致命的业务逻辑设置、以及非官方供应链污染事件先后遭到披露,并实证有大量受影响用户,iOS俨然已经从“最安全的手机操作系统”走下神坛;并且由于iOS及其运行设备在权限控制及安全策略设定上,较之Android等其他智能手机操作系统要严格许多,一些原本可以利用第三方应用、框架及补丁加以预防、解决的安全问题,在iOS上却只能等待官方补丁修复及第三方应用升级,用户自己无法进行任何应急处置,实际使得iOS系统面对着一个较为被动的安全局面。

鉴于国内较为敏感行业近年来提倡使用国产移动通讯设备且成效显著,Apple iOS所产生的系列安全问题,连带造成国家层面的安全影响相对会小一些;但普通移动端用户中,苹果用户占比仍然能够占据前5名(2016年数据数据显示iPhone在我国国内市场份额约在9%-10%),从我国国内庞大的移动用户基数来看,一旦爆发影响版本较多的安全漏洞,同样会造成极广的用户影响面,隐私泄漏等问题同样无法避免。因此,安天移动安全团队认为,尽管近段时间尚未出现影响面较广,影响性质较恶劣的iOS安全事件(0day漏洞等形式),iOS安全尚处良好状况。但不可忽视的是,iOS领域的安全漏洞、安全事件感知机制以及“感知——处置”机制相比Android平台仍然尚处初期阶段,需要进一步研究及关注。

转:移动安全态势走向预测

本章节将主要介绍团队对2018年移动安全态势的展望,并对其中可能出现的新安全问题及安全热点分别进行描述及趋势判断,供您参考。

3.1 境内移动应用传播渠道安全隐患不可小视

自进入2010年,以iOS、Android为代表的智能手机系统开始在全球范围发展并逐渐普及以来,软件生态就成为了决定某一系统/平台能否良性发展并持久存活的重要因素;而“非官方渠道传播,安全性未知的”软件安装包,则一直和PC端的恶意破解软件、仿冒捆绑应用相类似,占据了其对应平台安全威胁的较大部分来源。

image016.jpg 
图3-1某市场借本身安全性未知的第三方工具推广其“高速下载器”

迄今为止,出于各应用商店的商业利益考量,以及不可能存在从外部将应用分发渠道统一,或强行减少分发渠道数量,以便于监测管理的可能,较为“治标”的方法无疑是在设备上安装第三方安全软件及杀毒软件,但这又对各安全厂商的安全框架、杀毒引擎技术及云端样本库、特征库的运营提出了高标准的要求,同样无法在短期内“治本”。故安天移动安全倾向于认为,短期内,我国境内移动应用传播渠道的“历史遗留问题”仍然会给用户信息安全带来一定程度的威胁,不能够掉以轻心。

3.2 移动终端硬件及系统漏洞影响仍将不断发酵

2017年至今,各行业运用较为普遍的操作系统软件接连爆出严重的系统内核级0day漏洞,其中Windows涉及多版本“通杀”提权漏洞,而苹果Mac OS及其移动端Apple iOS则分别有root权限漏洞及多个UNIX底层漏洞被曝光,其系统安全“神话”就此不再。同时,近日遭到Google公司Project Zero团队曝光的处理器内核Spectre、Meltdown先天架构设计缺陷漏洞,几乎影响1995年之后包括Intel,AMD,Qualcomm,ARM等绝大多数主流处理器,作为硬件底层漏洞也具备极大的影响范围与严重性。

image017.png 
图3-2 境外科技媒体介绍Spectre时使用了“Nearly All”的措辞

考虑到硬件底层漏洞及操作系统内核级漏洞并非任何常规防御措施,或通常的漏洞挖掘人员及手段能在短时间内提前感知、发现并处置的,结合硬件处理器技术计算能力与架构方式不断发展,而其承载的操作系统软件复杂性也日益增长,安天移动安全团队倾向于认为,2018年,与硬件底层及系统内核相关的信息安全威胁仍然会继续发酵,需要密切关注。

3.3 数据及隐私安全问题将在移动终端广泛呈现

当前,随着移动终端类型及绝对数量的不断增多,以及“大数据时代”的移动应用所承载服务类型及数量的不断增长,移动终端所产生并接触的业务数据类型已经相当可观。与此同时,由于智能手机系统本身具备的功能数据及各类指纹数据较为充分,而系统的权限控制机制常令第三方“有机可乘”,国内互联网服务提供商往往通过各种手段“或明或暗”地收集这些“可能与用户隐私高度相关”的数据,并进行各种模式、商业化或非商业化的分析、交换、出售及利用。由于移动终端用户的绝对数量本已较多且仍在大幅增长,加之移动互联网本身具备“弱边界”的特点,导致类似行为对单一用户的影响面必定较广,当前用户业务数据及其隐私数据的风险无疑处在了较高的位置,相对传统互联网而言,具备显而易见的更高风险度。

针对数据及隐私安全问题,当前国内所面对的状况也正如美国商务部在2010年发布的报告——《互联网经济中的商业数据隐私与创新:动态政策框架》中所说:“没有强制性的自主规范是不充分的,要恢复消费者的信任,尤其是在对个人信息进行收集、利用的经营者层出不穷的现在,我们迫切需要一部隐私权法案。”

可喜的是,在2017年,最高人民法院和最高人民检察院曾出台《关于打击倒卖公民隐私数据的办法》,对隐私泄露类犯罪行为进行专项打击指示;2017年6月,《中华人民共和国网络安全法》的正式实施,为我国互联网用户数据及隐私安全的保护开了一个好头。不过,若想完全规避并“根治”这一领域的安全问题,“立法”本身固然具备里程碑级的重要性,也需要包括互联网行业、安全行业、执法部门等多方面在未来较长一段时间通过某些方式进行协作,从而从各个维度对用户数据及隐私安全形成“全周期”的切实保障。

3.4特征明确的精准APT将考验传统安全防御体系

近年来,部分商业利益或政治因素驱动的移动终端恶意软件(往往以潜伏的APT或类APT形式被发现)更为频繁出现,其精确打击、具备战术性及攻击链逻辑的特点符合”网络战”定义,考验了传统基于“病毒特征库”启发检出机制及各方情报收集、分析及预警能力的同时,可能导致较为重要的商业秘密或较高密级的国家基础设施信息等遭到持续泄漏,且往往发现时可能已造成一定难以估量且难以补救的恶劣影响。

鉴于源于或目的为相关敏感方向(朝鲜半岛、中东地区)的攻击事件及组织在近两到三年的活跃程度往往超过各方预期,且其部署攻击事件的手法往往具备严谨的战术思维,结合相关敏感地区的政治局势发展方向以及我国周边的地缘政治状况,安天移动安全团队倾向于认为,“网络战”式的APT攻击或类APT攻击形势将在2018年显得更为严峻。且在将来较长的一段时间中,针对各类商业实体,如大型互联网公司、金融实体及跨国公司等高价值目标的APT攻击趋势也应引起足够重视。

3.5 移动终端安全屹立“风口”,IoT及车联网“粉墨登场”

不仅传统智能移动终端用户数量从近两三年的数据反映出保持稳固增长的态势,新兴的IoT甚至车联网设备数量亦在2017年内呈现了急剧增长的趋势,而相关的安全基线、安全标准以及最佳实践往往未模式化且较为缺乏的。同时由于技术应用领域较新,许多攻击手法亦未能提前被设备研发团队预判得知并适当防御,相关案例2017年亦已屡见不鲜,如外媒报道的中国安全研究员成功“黑入”特斯拉事件。

image020.png 
图3-5:外媒报道中国安全研究员成功“黑入”特斯拉

结合IoT及车联网设备的发展态势及预测,安天移动安全团队倾向于认为,2018年,类似的加密勒索及深度控制利用不仅会在传统智能移动终端领域活跃,也同样会在安全防御更为薄弱的IoT及车联网领域出现甚至频发。

合:结语

正如本《年报》副标题所提到的“起承转合间的方兴未艾与暗流涌动”一般,用户与互联网服务所共存的每一天正犹如“起承转合”,而其间既有移动安全领域新技术的“方兴未艾”,亦有对立面上攻击技术、黑色产业链等各方面的“暗流涌动”。纵观全局,移动安全在2018年的整体态势仍然不容乐观。事实上,面对“暗流涌动”的各类移动威胁,在威胁检测、工程化对抗和基于海量数据的威胁情报“感知——处置”各环节间,安天移动安全团队已经有了比较充分的积累及相关能力储备,能够在威胁存在早期,甚至威胁出现之前形成可防御的能力。但单一团队的能力与我国庞大的网络资产规模和用户体量相比,确可谓是“螳臂当车”,若想要扩大这种能力的影响范围,为国内互联网安全环境注入切实的“正能量”,确实仍需思考如何与各参与角色的进一步联动,以更好的发挥优势作用;同时仍需持续研究如何将技术与市场需求、商业规律结合,以确定技术的价值定位,保证团队及厂商的生存空间。这种能力并非是朝夕之间能够具备的,理想中的“联动”体系也并非是任意一方努力即可达成的目标。

点我查看完整版报告

*本文作者:AVLTeam,转载请注明来自FreeBuf.COM

3-2定稿.jpg

伴随着手机的全面普及和移动互联网的发展,以移动终端为平台的攻防对抗也愈演愈烈。针对日益升级的恶意代码检测技术,恶意攻击者的反查杀手段相应也在不断变化应对。早在2015年,安天移动安全就发现一例利用C#编写以逃避查杀的恶意代码,并对其进行了技术分析。

近日,安天移动安全联合猎豹移动安全实验室又捕获一例类似的病毒,该病毒使用MonoDroid框架进行开发(MoniDroid是以C#语言和部分.Net基类库为核心,使用mono虚拟机为Android平台开发应用的代码框架),MonoDroid框架开发的特点是开发者编写的逻辑代码都会最终编译在dll文件中,而不是常规的dex文件中,因而常规的反病毒检测手段对这类应用一般都会失效。此外,该病毒使用了知名应用Telegram的Bot进行通信,相较于传统的C&C域名通信具有极强的隐蔽性。安天移动安全团队联合猎豹移动安全实验室对其进行了深入分析并发布技术报告,全文如下。

一、样本信息

b1.png

二、静态分析

首先从AM文件中,可以看到该病毒申请了一系列与窃密行为相关的权限: 

image002.png

此外,在AM文件中还看到其注册了各种receiver用来监听系统消息。

image003.png

深入查看一个用来接收当有电话打入时的receiver,在该类中我们并未发现一些实际功能代码。在onReceiver函数中,其直接将Context和Intent转交给了一个native方法n_onReceive,然而尴尬的是在这个类中,我们并没有看到有loadLibrary的so文件,而这其实利用的是Mono框架实现的。

image004.png

image005.png

在dex文件中其他的几个类也都存在类似的情况: 

image006.png

MainActivity也是如此: 

image007.png

从以上静态分析中,可以了解到该病毒dex文件中基本没有实质性的代码,这里的原因主要来源于MonoDroid 框架允许开发者在.Net平台使用C#进行开发,而这意味着我们基本不可能在dex 文件中有所得。

三、恶意行为分析

该病毒的核心恶意模块为google.tools.dll文件,通过对该文件进行反编译后获得该病毒的核心恶意行为。该病毒的整体攻击流程如下图所示: 

image008.png

Step1:自我隐藏并初始化TelegramBot

当用户安装应用后,该病毒首先通过MainActivity的onResume()方法,弹出虚假提示框告知用户该程序无法运行并自动卸载,卸载完成后自动隐藏图标,为后续的恶意行为不被发现做好铺垫。而这也是当前常见的恶意代码自我隐藏的主要方式。 隐藏完毕后,该病毒启动下述服务,首先进行了语言识别,针对非英文语言环境会默认显示波斯语。 

image009.png

mainservice中包含部分组件设置、绑定以及Telegram Bot API(后文简称 TBA)模块的初始化相关的行为:

image010.png

值得一提的是,该病毒设置了定时器对相关核心恶意服务是否存活进行监控,如果挂掉了,就重启之。 

image011.png

此外,该病毒还另外注册了两个Telegram的消息回调函数。在这里再次暴露了其通过利用知名应用Telegram提供的框架实现某些重要功能的意图: 

image012.png

Step2:远程控制设备 

在此之前我们也曾发现过一些使用TBA进行通信的样本,本次发掘的样本基本采用纯TBA进行通信,该病毒的远控的行为设计的十分完备,关键操作(文件增删、关键服务的启闭、关机重启被控端、卸载自身等)都需要主控端二次确认操作,分发起操作和确定操作两步。在文件管理功能方面基本上做到了 PC端的远控的水平,集合了文件预览、上传、下载、移动、重命名等诸多功能。对于被控端的短信,来电等内容,在主控端可以做到“消息实时推送“ 级别的接收响应,另外这些功能都可以通过主控端随时进行开闭操作。同时主控端可以控制被控端设备的关机、重启(该功能需要被控端是已经被root的设备,该病毒自身不拥有提权功能),主控端可以随时发起被控端卸载该病毒、实时开启摄像头拍照、实时屏幕截图(需root )、获取实时地理位置信息。

总的来说这款病毒在软控功能上设计的十分完善,主控端和被控端的可以进行灵活的交互,这点大大区别于其他普通的Android病毒,这在一定程度上得益于TBA 提供的各种完善的网络传输方法。

android.os.CTRLCB类的CTRLMESS()方法中包含了所有控制指令,整理如下。基本上所有上述指令中具体相关功能都在android.os.DoWork中有所实现。 

3(全部).jpg

Step3:Root模块检测

由于远控行为中包括的远程开机、重启、屏幕截图等功能的实现需要设备的Root权限,因此在相关功能执行前,该病毒会先进行Root模块的检测,确认设备是否已经Root。如果已Root,则通过申请Root权限进行相关恶意行为的实施: 

image013.png

image014.png

image015.png

Step4:设置定时操作

该病毒还特别创建了定时操作线程,按照规定的时间间隔进行恶意行为的执行,定时操作分别为:每小时执行对所窃取的隐私信息存放的缓存空间的释放工作;每五秒执行一次,检查采集地理位置的Service是否还在工作: 

image016.png

而上述定时执行的线程还负责对获取到的隐私信息的定时上传: 

image017.png

Step5:监控亮屏行为激活守护主恶意服务

亮屏动作的捕获主要是为了实现对主恶意服务mainservice的存活守护,结合上述的定时执行线程以及定时服务探活和激活的逻辑,都足以看出该病毒开发者对保护自我服务的“用心”: 

image018.png

Step6:其他隐私信息窃取

(1)窃取手机图片

通过onStartComand方法,启动一个服务去定时获取手机存储中的所有图片类型的文件: 

image021.png

image022.png

该病毒专门对此服务设置了定时器去进行“服务守护”,如果服务挂掉,重启之。 

image023.png

(2)监听短信模块

image024.png

从+98编码可以看出,该病毒的活动范围为某中东地区。此外,该病毒还会监听短信发送行为:

image025.png

(3)窃取通话录音记录

image026.png

(4)利用相机拍照

image027.png

(5)获取通讯录 

image028.png

(6)窃取来电记录  

image029.png

监视网络变化,上传通话记录,守护恶意服务: 

image030.png

(7)获取地理位置  

image031.png

image032.png

image033.png

四、事件分析

从我们捕获到的样本上来看,该病毒基本上都是伪造的工具类应用,包名google.tools、System.OS也非常普遍,我们很难从这些地方发掘出可能的攻击对象和目标群体属性。 但是根据在应用中出现的波斯语设置以及在短信监听中出现的+98国际区号的线索,我们推测出,该病毒的活跃地区应该是某中东国家。此外,在分析的过程中我们发现了一个疑似主控端Telegram 的账号主页:https://telegram.me/Qhack。该主页账号指向的是Telegram的某位用户账号 “Qhack”。我们在Telegram上搜索这个用户,结果如下:

image034.png

image035.png

从第二张图片中,我们可以发现这个账号在1小时前还在线,但是个人信息中并没有什么内容,因此推测这可能只是一个用来作为主控端的僵尸账号。 通过样本关联,我们在这批样本的其中一个签名下关联到一种不同的样本,但是都是使用MonoDroid框架编写,类名、方法名命名极为相似,都有伪装卸载后台隐藏图标启动恶意服务的行为,但是编写较为粗糙,虽然也进行了部分隐私信息的窃取,但并未如前面所分析的使用Telegram 进行通信,而只是简单的使用http的方式进行通信,通信的IP为148.251.203.5 、148.251.32.113,其中一个样本名为“电报技巧” (Telegram的译名就叫“电报” ),同样也是活跃在波斯语的使用地区,推测这类样本可能是早期的产物。

一代样本:

4.jpg

二代样本: 

5.jpg

从技术手法上来看,使用C#开发Android应用不多见,推测攻击者可能是精于 Windows开发的技术人员,当然也不排除是故意为了混淆视听或是规避杀软检测而为之。从代码结构上来看,其模块划分比较明确,组织结构安排的也较为合理,同时其通信过程完全使用TBA,与TBA 配合的远控行为逻辑和功能设计也颇有特色,从这些角度看来该攻击组织具备相当不错的技术水平。

五、总结

该病毒采用C#编写,通过将逻辑代码编译在dll文件中而不是常规的 dex文件中来规避常规的恶意代码检测机制。此外,该病毒使用了知名应用Telegram的Bot进行通信,进一步增强了其隐蔽性。这说明恶意开发者有一定的反查杀意识和能力。在此基础上,该病毒建立起了一套完整的远程控制体系,涵盖了各种远程控制恶意行为,包括对各种设备硬件信息采集、文件管理(文件和文件夹预览、移动、删除、重命名、上传、下载)、短信实时监控、通话记录实时监控,以及截屏、通话录音、图片、账户、和地理位置实时获取、远控摄像头拍照等等,极大程度上侵犯了用户的个人隐私信息安全,具有非常强的危害性。

对此,安天移动安全联合猎豹移动安全实验室已实现对该病毒的检测查杀,建议用户安装猎豹安全大师等集成安天移动反病毒引擎的安全产品,定期进行病毒检测,保护个人信息安全。

*本文作者:AVLTeam,转载请注明来自FreeBuf.COM

一、背景介绍

近日,Android平台被爆出“核弹级”漏洞Janus(CVE-2017-13156),该漏洞允许攻击者任意修改Android应用中的代码,而不会影响其签名。 众所周知,Android具有签名机制。正常情况下,开发者发布了一个应用,该应用一定需要开发者使用他的私钥对其进行签名。恶意攻击者如果尝试修改了这个应用中的任何一个文件(包括代码和资源等),那么他就必须对APK进行重新签名,否则修改过的应用是无法安装到任何Android设备上的。但如果恶意攻击者用另一把私钥对APK签了名,并将这个修改过的APK对用户手机里的已有应用升级时,就会出现签名不一致的情况。因此,在正常情况下,Android的签名机制起到了防篡改的作用。

但如果恶意攻击者利用Janus漏洞,那么恶意攻击者就可以任意地修改一个APK中的代码(包括系统的内置应用),同时却不需要对APK进行重新签名。换句话说,用这种方式修改过的APK,Android系统会认为它的签名和官方的签名是一致的,但在这个APK运行时,执行的却是恶意攻击者的代码。恶意攻击者利用这个修改过的APK,就可以用来覆盖安装原官方应用(包括系统的内置应用)。由此可见,该漏洞危害极大,而且影响的不仅是手机,而是所有使用Android操作系统的设备。

b6.png

目前,Google将该漏洞危险等级定义为高,其影响Android 5.1.1至8.0的所有版本。基于多年以来针对移动端漏洞的技术积累和安全对抗,安天移动安全对Janus高危漏洞进行了紧急分析,并发布技术报告,全文如下。

二、漏洞原理

ART虚拟机在加载并执行一个文件时,会首先判断这个文件的类型。如果这个文件是一个Dex文件,则按Dex的格式加载执行,如果是一个APK文件,则先抽取APK中的dex文件,然后再执行。而判断的依据是通过文件的头部魔术字(Magic Code)来判断。如果文件的头部魔术字是“dex”则判定该文件为Dex文件,如果文件头部的魔术字是“PK”则判定该文件为Apk文件。

另一方面,Android在安装一个APK时会对APK进行签名验证,但却直接默认该APK就是一个ZIP文件(并不检查文件头部的魔术字),而ZIP格式的文件一般都是从尾部先读取,因此只要ZIP文件尾部的数据结构没有被破坏,并且在读取过程中只要没有碰到非正常的数据,那么整个读取就不会有任何问题。

总而言之,Android在加载执行代码时,只认文件头,而安装验证签名时只认文件尾。

因此只要构造一个APK,从其头部看是一个Dex文件,从其尾部看,是一个APK文件,就可以实施攻击。很容易想到,将原APK中的classes.dex抽取出来,改造或替换成攻击者想要执行的dex,并将这个dex和原APK文件拼起来,合成一个文件,就可以利用Janus漏洞。

当然仅仅简单地将恶意dex放在头部,原apk放在尾部合起来的文件还是不能直接用来攻击。需要稍作修正。对于头部dex,需要修改DexHeader中的file_size,将其调整为合并后文件的大小。另外需要修改尾部Zip,修正[end of central directory record]中[central directory]的偏移和[central directory]中各[local file header]的偏移。

当然,Janus漏洞是针对APK文件的攻击,因此v1签名无法抵御这类攻击,而v2签名可以抵御。

三、漏洞利用

image001.png

图1 攻击文件拼接原理

具体的漏洞利用分为3步:

1. 从设备上取出目标应用的APK文件,并构造用于攻击的DEX文件;

2.将攻击DEX文件与原APK文件简单拼接为一个新的文件;

3.修复这个合并后的新文件的ZIP格式部分和DEX格式部分,修复原理如图1所示,需要修复文件格式中的关键偏移值和数据长度值。

最后,将修复后的文件,重命名为APK文件,覆盖安装设备上的原应用即可。

四、漏洞修复

1.Google官方修复方案

对文件system/core/libziparchive/zip_archive.cc打上如下patch

image009.jpg

2.修复原理

打开ZIP格式文件时,多做了一项校验,也就是检测文件的头部是不是以‘PK’标示打头。如果是,则进行正常的逻辑,否则认为该文件不是一个合法的ZIP格式文件。

五、总结

Android平台上的应用签名机制是Android安全的基石。Android平台的permission机制完全依赖于应用的签名,签名机制一旦突破,所有基于Android permission构建的安全体系将崩溃。而Janus漏洞已经不是Android平台的第一例签名机制漏洞了,之前由“Bluebox”发现的Master Key漏洞和“安卓安全小分队”(安天移动安全上海团队前身)发现的第二个Master Key漏洞都是利用签名机制的漏洞,其原理是利用Android的代码中对APK验证不充分的缺陷,使得应用在安装时验证的是原dex,但执行的是另一个dex,从而达到瞒天过海、偷梁换柱的目的。

Janus漏洞的利用在原理上也类似,它将恶意dex和原apk拼接在一起,安装验证时验证的是原apk的dex,而执行时却是执行恶意dex。修复这类漏洞的原理也很简单,就是加强安装时的验证,避免不合法应被安装到系统中。针对Janus漏洞,只需简单验证一下apk文件的头部是不是‘PK’即可。如果不是,则该apk 文件一定不是一个正常的apk文件。

Janus漏洞再一次提示我们,即使像Google这样的跨国科技企业也难免在签名验证这么关键的环节上多次产生漏洞,特别是Janus漏洞从2014年就已经存在,潜伏长达3年之久,并且从Android 5.1-8.0版本都存在这个漏洞。这说明了安全问题有时是极其隐蔽的,暂时未发现安全问题,不代表安全问题不存在;更说明了安全是动态的而不是静止的。因此安全防护是一个工程化体系化的持久战,很难通过单次或短期投入就将安全问题一次性解决,在安全方面只有持续而坚定地投入,一旦发现风险或者漏洞就要以最快的速度及时修复,只有这样才能保证系统安全而稳定地运行,最大程度地规避风险和损失。

附录:技术参考

要理解Janus高危漏洞的原理,首先需要掌握一些基础知识:ZIP文件结构、DEX文件结构和Android APK签名机制。

1. DEX文件结构

要理解Janus高危漏洞的原理,首先需要掌握一些基础知识:ZIP文件结构、DEX文件结构和Android APK签名机制。

image010.png

图2 dex文件格式

Dex文件有很多部分组成(如图5),其中Dex Header最为重要,因为Dex的其他组成部分,都需要通过这个Dex Header中的索引才能找到。 Dex Header内部结构如下:

Clipboard Image.png

图3 dex header 结构

在Dex Header中(如图3),file_size规定了整个dex文件的总大小。因此,如果想在Dex文件中隐藏一些额外的数据的话,最简单地,就可以将这些数据追加到Dex文件末尾,然后再将file_size调大到合适的值即可。

2. ZIP文件结构

ZIP文件可以通过获得文件尾部的End of central directory record(EOCD record)获取central directory,遍历central directory中的每项记录得到的file data即为压缩文件的数据。

b1.png

表1 ZIP文件结构

如表1,读取ZIP文件时,会现从最后一个记录区end of central directory record中读取central directory的偏移,然后遍历central directory中的每一项,获取每个文件的 local file header,最后通过 local file header 获取每个文件的内容。 End of central directory record结构体如下:

b2.png

表2 End of central directory record结构

该结构(如表2)中的offset of start of central directory with respect to the starting disk number,指向了central directory的位置。 Central directory结构体如下:

b3.png

表3 Central directory结构

该结构(如表3)中的relative offset of local header,指向了每个文件的Local File Header的位置。

因此,如需在ZIP文件中隐藏一些数据,可将这些数据简单添加到头部,然后修改End of central directory record中central directory的偏移。同时修改每个central directory中的Local File Header的偏移即可。

3.Android APK签名机制

Android APK签名机制分为两个版本:v1和v2版本。

两个版本的签名区别在于,前者是对APK中的每个文件进行签名,如果APK中某个文件被篡改了,那么签名验证将会通不过;后者则是对整个APK文件进行签名,只要APK文件的内容发生变化则签名失效。

很显然,v2版本要比v1更加严格,安全性会高很多。 但遗憾的是,Android从7.0开始才引入v2签名。之前的所有Android系统只能验证v1签名的app,即使这个app也用V2签名了。 以下是两个版本的签名对比:

b4.png

表4 v1 v2签名对比

对于android 7.0以上,系统在校验签名是会先检查是否存在V2签名方案,若存在,则通过V2签名方案对APK进行校验,否则使用V1签名方案对APK进行校验。

image014.png

图4 Android v2签名流程

对于android 7.0以下的系统,不支持V2签名方案,所以APK在签名时最好将两种签名方案都支持。

*本文作者:AVLTeam,转载请注明来自FreeBuf.COM

微信头图(2).jpg

一、背景简介

脏牛漏洞(CVE-2016–5195)是公开后影响范围最广和最深的漏洞之一,这十年来的每一个Linux版本,包括Android、桌面版和服务器版都受到其影响。恶意攻击者通过该漏洞可以轻易地绕过常用的漏洞防御方法,对几百万的用户进行攻击。尽管已针对该漏洞进行了补丁修复,但国外安全公司Bindecy对该补丁和内容做出深入研究后发现,脏牛漏洞的修复补丁仍存在缺陷,由此产生了“大脏牛”漏洞。基于多年以来针对移动端漏洞的技术积累和安全对抗,安天移动安全对“大脏牛”漏洞进行了详细的技术分析,并提供了验证方案,全文如下。

二、漏洞原理分析

2.1 脏牛漏洞回顾

在分析大脏牛漏洞前,我们需要对原始的脏牛漏洞利用方式进行完整的分析理解: 之前的漏洞是在get_user_pages函数中,这个函数能够获取用户进程调用的虚拟地址之后的物理地址,调用者需要声明它想要执行的具体操作(例如写/锁等操作),所以内存管理可以准备相对应的内存页。具体来说,也就是当进行写入私有映射的内存页时,会经过一个COW(写时拷贝)的过程,即复制只读页生成一个带有写权限的新页,原始页可能是私有保护不可写的,但它可以被其他进程映射使用。用户也可以在COW后的新页中修改内容之后重新写入到磁盘中。

现在我们来具体看下get_user_pages函数的相关代码: 

image001.png

整个while循环的目的是获取请求页队列中的每个页,反复操作直到满足构建所有内存映射的需求,这也是retry标签的作用。   

follow_page_mask读取页表来获取指定地址的物理页(同时通过PTE允许)或获取不满足需求的请求内容。在follow_page_mask操作中会获取PTE的spinlock,用来保护试图获取内容的物理页不会被释放掉。

faultin_page函数申请内存管理的权限(同样有PTE的spinlock保护)来处理目标地址中的错误信息。在成功调用faultin_page后,锁会自动释放,从而保证follow_page_mask能够成功进行下一次尝试,以下是涉及到的代码。    

原始的漏洞代码在faultin_page底部:

image003.png

上面这个判断语句想要表示的是,如果当前VMA中的标志显示当前页不可写,但是用户又执行了页的写操作,那么内核会执行COW操作,并且在处理中会有VM_FAULT_WRITE标志。换句话说在执行了COW操作后,上面的if判断为真,这时就移除了FOLL_WRITE标志。         

一般情况下在COW操作后移除FOLL_WRITE标志是没有问题的,因为这时VMA指向的页是刚经过写时拷贝复制的新页,我们是有写权限的,后续不进行写权限检查并不会有问题。 但是,考虑这样一种情况,如果在这个时候用户通过madvise(MADV_DONTNEED)将刚刚申请的新页丢弃掉,那这时本来在faultin_page后应该成功的follow_page_mask会再次失败,又会进入faultin_page的逻辑,但是这个时候已经没有FOLL_WRITE的权限检查了,只会检查可读性。这时内核就会将只读页面直接映射到我们的进程空间里,这时VMA指向的页不再是通过COW获得的页,而是文件的原始页,这就获得了任意写文件的能力。   

基本来看,上述的过程流也就是脏牛漏洞的利用过程。   

在faultin_page中有对应的修复补丁:

image005.png

同时也加入了另一个新的follow_page_mask函数:

image007.png

与减少权限请求数不同,get_user_pages现在记住了经过COW循环的过程。之后只需要有FOLL_FORCE和FOLL_COW标志声明过且PTE标记为污染,就可以获取只读页的写入操作。

2.2 大脏牛漏洞分析

THP通过PMD(Pages Medium目录,PTE文件下一级)的_PAGE_PSE设置来打开,PMD指向一个2MB的内存页而非PTEs目录。PMDs在每一次扫描到页表时都会通过pmd_trans_huge函数进行检查,所以我们可以通过观察PMD指向pfn还是PTEs目录来判断是否可以聚合。在一些结构中,大PUDs(上一级目录)同样存在,这会导致产生1GB的页。 仔细查看脏牛补丁中关于THP的部分,我们可以发现大PMDs中用了和can_follow_write_pte同样的逻辑,其添加的对应函数can_follow_write_pmd:

image009.png

然而在大PMD中,一个页可以通过touch_pmd函数,无需COW循环就标记为dirty:

image011.png

这个函数在每次get_user_pages调用follow_page_mask试图访问大页面时被调用,很明显这个注释有问题,而现在dirty bit并非无意义的,尤其是在使用get_user_pages来读取大页时,这个页会无需经过COW循环而标记为dirty,使得can_follow_write_pmd的逻辑发生错误。

在此时, 如何利用该漏洞就很明显了,我们可以使用类似脏牛的方法。这次在我们丢弃复制的内存页后,必须触发两次page fault,第一次创建它,第二次写入dirty bit。

调用链:

image013.png

经过这个过程可以获得一个标记为脏的页面,并且是未COW的,剩下的就是要获取FOLL_FORCE和FOLL_COW标志了。这个过程可以采取类似dirtyCOW的利用方式。   

总结这个漏洞利用的思路如下:   

1.首先经过COW循环,获取到FOLL_COW标志

2.用madvise干掉脏页

3.再次获取页将直接标记为脏

4.写入

三、影响范围

3.1 漏洞影响范围

由于从2.6.38内核后才开始支持THP,所以漏洞影响所有内核在2.6.38以上并且开启THP的Linux系统。万幸的是在大多数Android系统的内核中没有开启THP,所以对于Android系统几乎没有影响。

3.2 如何在系统上查看是否受到影响

如果是开发者,有内核源码可以查看编译的config文件,看CONFIG_TRANSPARENT_HUGEPAGE是否打开 

image015.png

如果没有源码,在shell中可以查看/sys/kernel/mm/transparent_hugepage/enabled,如果输出结果为[always]表示透明大页被启用、[never]表示透明大页被禁用、[madvise]表示只在MADV_HUGEPAGE标志的VMA中启用THP,例如:

image017.png

如果以上两者都没有,可以查看/proc/meminfo,如果连HugePage*都没有,那就说明没有开启大页面,也不会受到漏洞影响。

四、验证代码

验证POC请参照:https://github.com/bindecy/HugeDirtyCowPOC

五、修复建议

截止到文章发布时间,Linux各发行版本还未公布针对该漏洞的补丁信息,软件开发人员可通过:https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux-stable.git/commit/?h=linux-4.9.y&id=7031ae2ab37d3df53c4a4e9903329a5d38c745ec重新编译Linux修复该漏洞。如果开发人员暂时无法编译和替换内核,可以通过关闭透明大页(THP)来缓解。

六、总结

“脏牛”漏洞是Linux内核之父Linus亲自修复的,他提交的补丁单独针对“脏牛”而言并没有问题。从我们的分析过程中发现,内核的开发者希望将“脏牛”的修复方法引用到PMD的逻辑中,但是由于PMD的逻辑和PTE并不完全一致才最终导致了“大脏牛”漏洞。连内核的开发者都会犯错,更何况普通的开发者。   

“大脏牛”漏洞再一次提示我们,即便是官方修复过的漏洞仍有可能由修复补丁引入新的严重漏洞,漏洞在修复后需要我们像对待原始漏洞一样继续跟踪其修复补丁。

七、参考资料

1.https://medium.com/bindecy/huge-dirty-cow-cve-2017-1000405-110eca132de0 

2.https://bbs.pediy.com/thread-223056.htm

3.https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-1000405

*本文作者:AVLTeam ,转载请注明来自FreeBuf.COM