利用Linux “脏牛”漏洞的恶意安卓程序：ZNIU，来源竟是国内黑产团队

本文共 1492 字，大约阅读时间需要 4 分钟。

ZNIU家族

这是第一个利用Android平台漏洞的恶意代码家族

我认为随着这个家族被挖掘，将会有更多的与linux系统相关的漏洞会同样本安卓系统所利用，从而进行恶意攻击

目前根据相关信息，网上与该漏洞相关的样本已达1200种

目前发现这个漏洞可以会绕过SELinux并生成root级别的后门。通过观察六个ZNIU rootkit，发现其中有四个是利用了脏牛漏洞，另外两个用的是KingoRoot（CVE-2015-1805），使用KingoRoot和Iovyroot，是因为它们可以对ARM 32位CPU的设备进行攻击，而脏牛并不可以攻击该类设备。

ZNIU恶意软件通常被携带于恶意网站下载的色情apk中，用户被骗后并点击恶意URL，然后通过该URL将ZNIU下载下来。一旦启动，ZNIU将C＆C服务器通信。同时会检测更新，并将更新同步加载到恶意程序种。同时，脏牛漏洞利用可以提升Root权限并生成Rookit后门。

随后，该应用会通过运营商的支付服务进行敛财。类似如下

并且，该恶意程序会将rootkit注入第三方应用程序，而无需更改其他组件。

这有助于大规模的恶意软件分发。

ZNIU主要代码逻辑如下：

1.收集设备的型号信息。

2.从远程服务器获取相应的rootkit。

3.解密漏洞。

4.触发器逐个利用linux漏洞，检查结果，并删除漏洞利用文件。

5.向C&C服务器报告漏洞是成功还是失败。

还发现远程攻击服务器的URL以及客户端和服务器之间的通信是加密的。

字符串解密后，可以发现域名和服务器主机位于中国。

C&C：

reg.oozclimb.com:5101

对应IP：

139.129.110.117

通过whois可以查询都相关信息

查询了一下QQ，看来是个小号

rootkit所需的所有文件都包装在一个文件夹中，文件名以“ulnz”开头，并包含多个ELF或脚本文件。

ZNIU rootkit可以任意写入vDSO（虚拟动态链接共享对象），该对象将一组内核空间函数导出到用户空间，以使应用程序执行得更好。

vDSO代码可以没有限制的在SELinux的内核上下文中运行。

ZNIU使用漏洞利用代码将shellcode写入vDSO并创建反向shell。然后，它修补SELinux策略以解除限制并植入一个后门ROOT shell。

所有与该恶意程序相关的hash都可以通过该pdf内获取到

脏牛漏洞利用详细分析

来自微博的消息

ZNIU家族是一起国内黑产有组织的大规模的攻击行为，主要获利渠道为通过运营商增值业务吸费。初步统计数据显示该家族分发在野的样本总量及国内受害者数量均达六位数以上。我们稍后公布最新样本数据。twitter有人根据我们提供的exploit服务器进行了初步的人肉。

恶意样本下载地址

来自趋势的详细分析

走过路过求个关注，长按按住二维码

（编辑：好传媒网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!