포스팅 내용

국내외 보안동향

루트 권한을 얻기 위해 Dirty COW 리눅스 결점을 악용한 첫 번째 안드로이드 악성코드 발견

First Android Malware Found Exploiting Dirty COW Linux Flaw to Gain Root Privileges


리눅스 커널에 영향을 미치는 Dirty COW 취약점이 공개되고 약 1년 후인 최근, 연구원들은 범죄자들이 안드로이드 사용자들에게 이를 악용하기 시작했다고 경고했습니다. (▶ Dirty Cow 취약점이란?)


작년 10월 공개 된 Dirty COW 취약점은 리눅스 커널 부분에 수년간 존재했으며, 활발히 악용되고 있었습니다.


이 취약점은 권한이 없는 로컬 공격자가 race condition 이슈를 통해 루트 권한을 얻어, 루트에 있는 읽기 전용 실행 파일에 접근해 원격 공격을 실행할 수 있도록 허용합니다.


그리고 최근 보안연구원들은 DirtyCOW로 알려진 이 권한 상승 취약점 (CVE-2016-5195)을 활발히 악용 중이라고 밝혔습니다.


이는 해당 취약점이 모바일 플랫폼에서 악용 된 첫 번째 사례입니다.


DirtyCOW 익스플로잇, 1,200개의 안드로이드 앱에서 발견 돼


이 악성코드는 DirtyCOW 익스플로잇을 사용해 안드로이드의 리눅스 커널의 Copy-on-write(COW) 메커니즘을 통해 안드로이드 기기를 루팅시키고, 공격자들이 데이터를 수집하고 유료 폰 번호를 통해 수익을 창출하는데 사용될 수 있는 백도어를 설치했습니다.


연구원들은  DirtyCOW 익스플로잇을 사용하는 ZNIU 악성코드를 1,200대 이상의 악성 안드로이드 앱에서 발견했습니다. 이들 중 일부는 성인 컨텐츠 및 게이밍 앱으로 위장했습니다.


DirtyCOW 취약점은 모든 안드로이드 OS에 영향을 미치지만, ZNIU의 DirtyCOW 익스플로잇은 ARM/X86 64비트 아키텍쳐를 갖춘 안드로이드 기기에서만 작동합니다. 그러나, 이 최근 익스플로잇은 SELinux를 우회하고 백도어를 설치할 수도 있습니다.


ZNIU의 DirtyCOW 익스플로잇의 동작법

 


<출처: http://blog.trendmicro.com/trendlabs-security-intelligence/zniu-first-android-malware-exploit-dirty-cow-vulnerability/>


ZNIU 악성코드를 내장한 앱이 다운로드 및 설치 되면, 이 앱은 C&C 서버와 통신해 업데이트 된 코드가 있는지 확인합니다. 그리고 동시에 DirtyCOW 익스플로잇을 이용해 로컬 권한 상승을 통해 기기의 루트 접근 권한을 얻은 후 시스템의 제한사항들을 우회하여 “미래에 이루어질 원격 제어 공격을 위한 백도어”를 설치합니다. 또한 통신사 정보를 수집해 중국의 가짜 회사로 보내지는 유료 SMS 메시지를 통해 돈을 지불하려고 시도합니다. SMS 트랜잭션이 끝나면, 이 악성코드는 기기에서 메시지를 삭제해 해킹의 흔적을 지웁니다.


연구원들은 이 악성코드가 이미 최근에만 5,000명 이상의 안드로이드 사용자들을 감염 시켰으며, 주요 피해자들은 중국과 인도이며, 미국, 일본, 캐나다, 독일, 인도네시아를 포함한 40개국에도 피해자가 존재한다고 밝혔습니다.


구글은 이미 DirtyCOW 취약점을 수정하는 안드로이드용 패치를 발표했습니다. 또한 구글은 Play Protect 기능이 이제는 이 악성코드를 탐지하는 것을 확인했습니다.


이 악성코드에 감염 되는 것을 막는 가장 쉬운 방법은, 공식 구글 플레이 스토어에서만 앱을 다운로드 하는 것입니다. 악성코드에 관한 더 자세한 내용은 여기에서 확인할  할 수 있습니다


현재 해당 알약 안드로이드 에서는 해당 악성코드에 대하여 Exploit.Android.DirtyCow로 탐지중에 있습니다. 






출처 :

http://thehackernews.com/2017/09/dirty-cow-android-malware.html

http://blog.trendmicro.com/trendlabs-security-intelligence/zniu-first-android-malware-exploit-dirty-cow-vulnerability/

티스토리 방명록 작성
name password homepage