Hacking Team的drive-by攻擊被曝光
根據周一發表的研究表明,一個正在持續的drive-by攻擊會強迫Android機上的勒索軟件利用高危漏洞,這個漏洞存在于百萬使用舊版本Google操作系統用戶的手機上。
攻擊結合了至少兩種高危漏洞,該漏洞存在于Android 4.0到4.3中。其中包括一個名為Towelroot 的漏洞,這個漏洞提供給攻擊者不受任何約束就可以使用 root 權限訪問受攻擊用戶的手機。該攻擊代碼似乎大量借鑒了去年7月意大利的 Hacking Team 泄漏的Android攻擊腳本,但是它并沒有直接復制該腳本。其他數據表明運行 Android 4.4 的設備可能也被感染了,但是攻擊者可能利用了另一組不同的漏洞。
這是第一次、或至少是極少數次Android 漏洞在現實世界的drive-by攻擊中被利用。多年以來,大多數 Android 惡意軟件被社會工程活動廣泛傳播,社工活動欺騙用戶安裝偽裝成有用良性app的惡意程序。這種drive-by攻擊在過去至少60天中非常活躍,它被安全公司 Blue Coat 系統發現。這種攻擊方式非常值得注意,因為它是完全隱形的,不需要任何用戶交互。查看該公司發表的研究結果。
“它看起來是一種非常漂亮的復雜攻擊”,Zimperium平臺研究開發副總裁Joshua Drake表示,“這種攻擊非常強大,因為它利用了軟件中的漏洞采取默認安裝的方式獲得了受害者設備的完全控制權。據我所知,這次的攻擊代表了全球第一個廣泛drive-by下載攻擊,它利用了漏洞鏈來瞄準 Android 用戶。雖然這次攻擊瞄準的是較老的漏洞,但是它代表著Android攻擊領域攻擊者使用的攻擊方式的轉變。”
Drake的評估基于代碼審計。Blue Coat 實驗室里的一臺運行Android 4.2.2 的三星設備在查看跳轉到一個色情網站的惡意廣告鏈接后發現被感染。來自 Blue Coat 日志數據表明至少224臺運行 Android 4.x(包括Android 4.4)的設備可能已經被感染。這些手機連接了77個由 Blue Coat 安全保護的不同的企業網絡,所以數據可能只反應了被感染總數的一小部分。
Cyber.Police
一旦易受攻擊的Blue Coat 平板訪問了擁有誘殺裝置的網頁,該設備就會秘密被感染上一種名為 Cyber.Police 的勒索軟件。這款應用至少從去年12月就開始流行,除非用戶支付至少100刀的蘋果iTunes禮品卡,不然攻擊者就會對觀看非法小黃片的用戶采取法律行動。
這種惡意app把受感染的設備設為鎖定狀態,以防止設備撥打或接聽電話或以其他途徑使用設備。Blue Coat 的研究員 Andy Brandt 發現的唯一一種移除app的方式就是執行恢復出廠設置,但是網絡搜索表明啟動受感染設備的安全模式可能是更簡單的恢復方法。
在感染期間,Brandt 捕獲了平板電腦和誘殺網頁間的流量。他把獲得的所有數據提供給了Drake來進行進一步檢查。Drake的分析發現,反混淆時,攻擊中的 JavaScript 可能是攻擊代碼中最具有標志性的,因為它看起來是去年Hacking Team泄漏的代碼。Hacking Team 的 JavaScript 強制受害的 Android 設備下載并執行攻擊者選擇的任意文件。Brandt平板上的可執行文件和鏈接格式文件利用 Towelroot 漏洞,并執行安裝惡意軟件 Cyber.Police app 的 Android APK。
這次攻擊使用新獲得的root權限來抑制安裝新的app時安裝權限彈出的允許對話框。它還使用了提升權限來關閉其他app和系統功能,并且有效的鎖住了手機。
Towelroot 起源于 Linux 內核 futex 的本地權限升級漏洞(即 CVE-2014-3153),這個 Linux 內核中的 bug 被 Comex 發現,一個名為 Pinkie Pie 的黑客在 Chrome 瀏覽器上發現了多個高危漏洞。這個 futex bug 允許無權限用戶或者進程獲得不受限制的 root 訪問權限;幾天之內,另一個黑客 George “GeoHot” Hotz 發現了一種方式利用這個 bug 來獲得 Android 手機的 root 權限,讓自己的手機做 Google、硬件制造商或運營商禁止做的事情。Google將Towelroot 插入到Android 4.4 版本中,而幾乎25%的 Android 用戶從未收到過這個版本。
攻擊越發殘酷但是仍然值得關注
利用水平和惡意應用程序本身形成了鮮明的對比。Cyber.Police 讓人回想起很早以前的時候,勒索軟件只能進行模糊的威脅并且主要用于抵抗鎖定科技。而現在的設備上有加密鎖并且app會進行文件加密。使用 iTunes 禮品卡接受支付是另一個展示了攻擊越發殘酷的特性,現在的支付趨勢是比特幣的需求增加,這意味著當局追查攻擊會變得更加困難。
攻擊其實還受到了其他限制。其中之一是即使使用一套獨立的攻擊代碼來感染正在運行Android 4.4 的設備,攻擊在一些設備上可能是可行的,但是這種攻擊體系還沒有完全被建立——之后的 Android 版本會對同一種攻擊免疫。更重要的是,種種跡象表明,到目前為止,這種攻擊只在色情網站上傳播,并不影響主流 Web 性能。
盡管存在很多局限性,但是仍存在幾個原因能夠表明這種攻擊的威脅還是值得關注的。其一是 Google 提供的數據,23.5%的 Android 設備仍存在攻擊漏洞,如果 Blue Coat 發現的 Android 4.4 用戶數據屬實,那么這個百分比會立即增長到 57%。請記住,相當一部分脆弱手機永遠都不會收到更新通知。
更廣泛的說,該運動表明 drive-by 攻擊針對的 Android 用戶可能只是感染用戶的一種方式。如果罪犯可以鏈接兩個或多個公開可行的漏洞來安裝一個 2-bit 勒索應用,那么毫無疑問,相同的技術可以再次使用,那么可能更多的用戶會因此安裝攻擊性更高的應用。
Hacking Team 泄漏的利用代碼請點擊:https://github.com/f47h3r/hackingteam_exploits/tree/master/vector-exploit/src/ht-webkit-Android4-src/precompiled/debug
