它是有史以来在Linux内核中发现的最严重的错误之一

Dirty COW(Dirty Copy-On-Write)或CVE-2016-5195是去年9月发现的具有9年历史的Linux错误。它是有史以来在Linux内核中发现的最严重的错误之一，而现在在野外发现了被称为ZNIU的恶意软件。该漏洞已在2016年12月的安全更新中修复，但未收到该漏洞的任何设备都容易受到攻击。那是几台设备?非常多。

如上所示，当Google开始制作安全补丁时，实际上有相当数量的Android 4.4之前版本的设备。更重要的是，除非在2016年12月之后收到任何安全补丁， 并且除非上述补丁正确地针对了该bug，否则Android 6.0 Marshmallow或更低版本上的任何设备实际上都将受到威胁 。由于许多制造商对安全更新的疏忽，很难说大多数人实际上受到了保护。TrendLabs的分析显示了许多有关ZNIU的信息。

ZNIU –第一个在Android上使用Dirty COW的恶意软件

首先让我们澄清一下，ZNIU 并不是 Android上Dirty COW的首次记录用法。实际上，我们论坛上的用户使用了Dirty COW漏洞(DirtySanta基本上就是Dirty COW)来解锁LG V20的引导程序。ZNIU只是用于恶意目的的bug的首次记录使用。这可能是因为应用程序非常复杂。它似乎活跃于40个国家，在撰写本文时，已有5000多名受感染的用户。它伪装成色情和游戏应用程序，目前存在1200多种应用程序。

ZNIU Dirty COW恶意软件做什么?

首先，ZNIU的Dirty COW实现仅适用于ARM和X86 64位体系结构。听起来还不错，因为大多数64位体系结构的旗舰店通常至少会在2016年12月发布安全补丁。但是，任何32位设备 也可能容易受到 lovyroot或KingoRoot的攻击，这是六个ZNIU rootkit中的两个使用的。

但是ZNIU做什么?它 主要表现为与色情相关的应用，但在与游戏相关的应用中也可以找到。安装后，它将检查ZNIU有效负载的更新。然后它将开始特权升级，获得root用户访问权限，绕过SELinux并在系统中安装后门以用于将来的远程攻击。

一旦应用程序初始化并安装了后门程序，它将开始将设备和运营商信息发送回位于中国大陆的服务器。然后，它开始通过运营商的付款服务将钱转入帐户， 但前提是被感染的用户具有中文电话号码。确认交易的消息然后被拦截并删除。来自中国境外的用户将记录其数据并安装后门，但不会从其帐户中进行付款。为了避免通知，收取的金额非常少，相当于每月3美元。ZNIU利用根访问权限来执行与SMS相关的操作，因为与SMS进行交互时，用户通常需要授予应用程序访问权限。 它还可能感染设备上安装的其他应用程序。 所有通信都经过加密，包括设备上下载的rootkit有效负载。

尽管进行了加密，但混淆过程非常糟糕，以至于 TrendLabs能够确定Web服务器的详细信息，包括位置，用于在恶意软件和服务器之间进行通信。

ZNIU Dirty COW恶意软件如何工作?

它的工作原理非常简单，并且从安全角度着迷。该应用程序下载正在运行的当前设备所需的有效负载，并将其提取到文件中。该文件包含恶意软件运行所需的所有脚本或ELF文件。然后将其写入虚拟动态链接共享对象(vDSO)，这通常是一种机制，用于为用户应用程序(即非root用户)提供在内核中工作的空间。这里没有SELinux限制，这就是Dirty COW真正“神奇”的地方。它创建了一个“反向外壳”，简单来说，这意味着机器(在本例中为您的手机)正在执行向您的应用程序发出的命令，而不是相反。这样，攻击者就可以访问设备，ZNIU可以通过修补SELinux并安装后门root shell来进行访问。

那我该怎么办?

确实，您所能做的就是远离Play商店以外的应用程序。Google已向TrendLabs确认，Google Play Protect现在可以识别该应用程序。如果您的设备具有2016年12月或更晚的安全补丁程序，则也完全安全。

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！