เนื่องจาก Linux เป็นโครงการโอเพ่นซอร์สจึงเป็นการยากที่จะหาข้อบกพร่องด้านความปลอดภัยในซอร์สโค้ดเนื่องจากผู้ใช้หลายพันคนทำการตรวจสอบและแก้ไขอย่างต่อเนื่อง เนื่องจากวิธีการเชิงรุกนี้แม้ว่าจะพบข้อบกพร่องก็จะได้รับการแก้ไขทันที จึงเป็นเรื่องน่าแปลกใจที่เมื่อมีการค้นพบช่องโหว่เมื่อปีที่แล้วซึ่งได้หลบหนีจากความขยันของผู้ใช้ทั้งหมดในช่วง 9 ปีที่ผ่านมา ใช่คุณอ่านถูกต้องแม้ว่าการค้นพบช่องโหว่นั้นจะเกิดขึ้นในเดือนตุลาคม 2559 แต่มันก็มีอยู่ในโค้ดเคอร์เนลของ Linux ตั้งแต่ 9 ปีที่แล้ว ช่องโหว่ประเภทนี้ซึ่งเป็นประเภทของการเพิ่มระดับสิทธิพิเศษเรียกว่าช่องโหว่ Dirty Cow (หมายเลขแค็ตตาล็อกเคอร์เนลข้อผิดพลาด Linux - CVE-2016-5195)
แม้ว่าช่องโหว่นี้ได้รับการแก้ไขสำหรับ Linux หนึ่งสัปดาห์หลังจากการค้นพบ แต่ก็ทำให้อุปกรณ์ Android ทั้งหมดที่มีช่องโหว่นี้ (Android ใช้ Linux kernel) Android ได้รับการติดตั้งตามมาในเดือนธันวาคม 2559 อย่างไรก็ตามเนื่องจากลักษณะของระบบนิเวศ Android มีการแยกส่วนยังคงมีอุปกรณ์ Android จำนวนมากที่ยังไม่ได้รับการอัปเดตและยังคงมีช่องโหว่อยู่ มีอะไรที่น่ากลัวกว่านั้นคือมัลแวร์ Android ตัวใหม่ที่เรียกว่า ZNIU นั้นถูกค้นพบเมื่อไม่กี่วันก่อนซึ่งเป็นการโจมตีช่องโหว่ของ Dirty Cow ในบทความนี้เราจะพิจารณาเจาะลึกช่องโหว่ Dirty Cow และวิธีการใช้งานมัลแวร์ ZNIU ในทางที่ผิดบน Android
ช่องโหว่ Dirty Cow คืออะไร
ช่องโหว่ Dirty Cow เป็นช่องโหว่ประเภท สิทธิพิเศษ ที่สามารถใช้เพื่อ มอบสิทธิ์พิเศษให้แก่ผู้ใช้ ทุกคน โดยทั่วไปแล้วการใช้ช่องโหว่นี้ผู้ใช้ที่มีเจตนาร้ายสามารถให้สิทธิ์ผู้ใช้ระดับสูงแก่ตนเองดังนั้นจึงสามารถเข้าถึงรูทอุปกรณ์ของเหยื่อได้อย่างสมบูรณ์ การเข้าถึงรูทไปยังอุปกรณ์ของเหยื่อทำให้ผู้โจมตีสามารถควบคุมอุปกรณ์ได้อย่างเต็มที่และเขาสามารถดึงข้อมูลทั้งหมดที่จัดเก็บไว้ในอุปกรณ์ได้โดยไม่ต้องให้ผู้ใช้ฉลาดขึ้น
ZNIU คืออะไรและ Cow Dirty เกี่ยวข้องกับมันอย่างไร
ZNIU เป็นมัลแวร์ที่บันทึกเป็นครั้งแรกสำหรับ Android ซึ่งใช้ช่องโหว่ Dirty Cow ในการโจมตีอุปกรณ์ Android มัลแวร์ใช้ช่องโหว่ของ Dirty Cow เพื่อเข้าถึงอุปกรณ์ของเหยื่อ ปัจจุบันตรวจพบมัลแวร์เพื่อซ่อนตัวอยู่ในแอพเกมสำหรับผู้ใหญ่และแอพลามกอนาจารมากกว่า 1200 เกม ในช่วงเวลาของการเผยแพร่บทความนี้มากกว่า 5, 000 ผู้ใช้ใน 50 ประเทศได้รับผลกระทบจากมัน
อุปกรณ์ Android ใดที่มีความเสี่ยงต่อ ZNIU
หลังจากการค้นพบช่องโหว่ Dirty Cow (ตุลาคม 2559) Google เปิดตัว patch ในเดือนธันวาคม 2559 เพื่อแก้ไขปัญหานี้ อย่างไรก็ตาม แพทช์ได้รับการเผยแพร่สำหรับอุปกรณ์ Android ที่ทำงานบน Android KitKat (4.4) ขึ้นไป ตามการแบ่งสรรการกระจาย Android OS โดย Google มากกว่า 8% ของสมาร์ทโฟน Android ยังคงทำงานบน Android รุ่นที่ต่ำกว่า ในบรรดาผู้ที่ทำงานบน Android 4.4 ถึง Android 6.0 (Marshmallow) มีเพียงอุปกรณ์ที่ปลอดภัยเท่านั้นที่ได้รับและติดตั้งแพตช์ความปลอดภัยเดือนธันวาคมสำหรับอุปกรณ์ของพวกเขา
นั่นเป็นอุปกรณ์ Android จำนวนมากที่มีศักยภาพในการถูกโจมตี อย่างไรก็ตามผู้คนสามารถปลอบใจในความจริงที่ว่า ZNIU กำลังใช้ช่องโหว่ Dirty Cow รุ่นที่ได้รับการแก้ไขและดังนั้นจึงพบว่าประสบความสำเร็จกับอุปกรณ์ Android ที่ใช้ ARM / X86 64-bit เท่านั้น ยังถ้าคุณเป็นเจ้าของ Android มันจะดีกว่าที่จะตรวจสอบว่าคุณได้ติดตั้งแพทช์รักษาความปลอดภัยธันวาคมหรือไม่
ZNIU: มันทำงานยังไง?
หลังจากผู้ใช้ดาวน์โหลดแอปที่เป็นอันตรายซึ่งติดมัลแวร์ ZNIU เมื่อพวกเขาเปิดแอ พมัลแวร์ ZNIU จะติดต่อและเชื่อมต่อกับ เซิร์ฟเวอร์ คำสั่งและการควบคุม (C&C) โดยอัตโนมัติ เพื่อรับการอัปเดตหากมี เมื่อมีการอัพเดตตัวเองมันจะใช้การยกระดับสิทธิ์ (Dirty Cow) เพื่อหาช่องทางเข้าถึงอุปกรณ์ของเหยื่อ เมื่อมีการเข้าถึงรูทไปยังอุปกรณ์แล้วจะทำการ เก็บเกี่ยวข้อมูลของผู้ใช้จากอุปกรณ์
ปัจจุบันมัลแวร์กำลังใช้ข้อมูลผู้ใช้เพื่อติดต่อผู้ให้บริการเครือข่ายของเหยื่อโดยการโพสต์ในฐานะผู้ใช้เอง เมื่อผ่านการตรวจสอบความถูกต้องแล้วมันจะดำเนินการ ธุรกรรม ทางการเงินผ่าน SMS และรวบรวมการชำระเงินผ่านบริการการชำระเงินของผู้ให้บริการ มัลแวร์นั้นฉลาดพอที่จะลบข้อความทั้งหมดออกจากอุปกรณ์หลังจากทำธุรกรรมแล้ว ดังนั้นเหยื่อไม่มีความคิดเกี่ยวกับการทำธุรกรรม โดยทั่วไปแล้วการทำธุรกรรมจะดำเนินการในจำนวนที่น้อยมาก ($ 3 / เดือน) นี่เป็นข้อควรระวังอีกประการที่ผู้โจมตีใช้เพื่อให้แน่ใจว่าเหยื่อจะไม่ค้นพบการโอนเงิน
หลังจากติดตามธุรกรรมพบว่า เงินถูกโอนไปยัง บริษัท จำลองที่อยู่ในประเทศจีน เนื่องจากธุรกรรมบนพื้นฐานของผู้ให้บริการไม่ได้รับอนุญาตให้โอนเงินระหว่างประเทศผู้ใช้ที่ได้รับผลกระทบในประเทศจีนจะได้รับผลกระทบจากธุรกรรมที่ผิดกฎหมายเหล่านี้ อย่างไรก็ตามผู้ใช้ที่อยู่นอกประเทศจีนจะยังคงมีการติดตั้งมัลแวร์ในอุปกรณ์ของพวกเขาซึ่งสามารถเปิดใช้งานได้ทุกเมื่อจากระยะไกลทำให้พวกเขามีเป้าหมายที่เป็นไปได้ แม้ว่าผู้ประสบภัยจากต่างประเทศจะไม่ประสบกับธุรกรรมที่ผิดกฎหมาย แต่ลับๆก็เปิดโอกาสให้ผู้โจมตีสามารถฉีดรหัสที่เป็นอันตรายในอุปกรณ์ได้
วิธีการช่วยตัวคุณเองจากมัลแวร์ ZNIU
เราได้เขียนบทความทั้งหมดเกี่ยวกับการปกป้องอุปกรณ์ Android ของคุณจากมัลแวร์ซึ่งคุณสามารถอ่านได้โดยคลิกที่นี่ สิ่งพื้นฐานคือการใช้สามัญสำนึกและไม่ติดตั้งแอพจากแหล่งที่ไม่น่าเชื่อถือ แม้ในกรณีของมัลแวร์ ZNIU เราได้เห็นว่ามัลแวร์นั้นถูกส่งไปยังมือถือของเหยื่อเมื่อติดตั้งแอปลามกหรือเกมสำหรับผู้ใหญ่ เพื่อป้องกันมัลแวร์เฉพาะนี้ตรวจสอบให้แน่ใจว่าอุปกรณ์ของคุณอยู่ในโปรแกรมแก้ไขความปลอดภัยปัจจุบันจาก Google การหาประโยชน์ดังกล่าวได้รับการติดตั้งด้วย patch รักษาความปลอดภัยเดือนธันวาคม (2016) จาก Google ดังนั้นทุกคนที่มีการติดตั้ง patch นั้นปลอดภัยจากมัลแวร์ ZNIU อย่างไรก็ตามขึ้นอยู่กับ OEM ของคุณคุณอาจยังไม่ได้รับการอัปเดตดังนั้นจึงเป็นการดีกว่าเสมอที่จะตระหนักถึงความเสี่ยงทั้งหมดและระมัดระวังที่จำเป็นจากด้านข้างของคุณ อีกครั้งทุกอย่างที่คุณควรและไม่ควรทำเพื่อบันทึกอุปกรณ์ของคุณจากการติดมัลแวร์ที่กล่าวถึงในบทความที่มีการเชื่อมโยงข้างต้น
ปกป้อง Android ของคุณจากการติดมัลแวร์
สองสามปีที่ผ่านมามีการเพิ่มขึ้นของการโจมตีมัลแวร์บน Android ช่องโหว่ Dirty Cow เป็นหนึ่งในช่องโหว่ที่ใหญ่ที่สุดที่เคยถูกค้นพบและดูว่า ZNIU กำลังหาช่องโหว่นี้ได้ดีเพียงใด ZNIU นั้นน่าเป็นห่วงโดยเฉพาะอย่างยิ่งเนื่องจากขอบเขตของอุปกรณ์ที่มันส่งผลกระทบและการควบคุมที่ไม่มีการเปลี่ยนแปลงที่มอบให้แก่ผู้โจมตี อย่างไรก็ตามหากคุณตระหนักถึงปัญหาและใช้ความระมัดระวังที่จำเป็นอุปกรณ์ของคุณจะปลอดภัยจากการโจมตีที่อาจเป็นอันตรายเหล่านี้ ดังนั้นก่อนอื่นให้ตรวจสอบให้แน่ใจว่าคุณได้อัปเดตแพตช์รักษาความปลอดภัยล่าสุดจาก Google ทันทีที่คุณได้รับพวกเขาจากนั้นหลีกเลี่ยงแอปไฟล์และลิงก์ที่ไม่น่าเชื่อถือและน่าสงสัย คุณคิดว่าควรปกป้องอุปกรณ์ของพวกเขาจากการโจมตีของมัลแวร์ แจ้งให้เราทราบความคิดของคุณเกี่ยวกับเรื่องนี้โดยวางลงในส่วนความคิดเห็นด้านล่าง
