專門提供駭客服務的Hacking Team自己也被駭了! 這是 2015 年備受矚目的資安事件。雖然,Hacking Team 資料外洩事件已經是好幾個月前的事了,但因漏洞攻擊程式碼的曝光而引發一連串的攻擊,至今仍持續影響著我們。
最近,趨勢科技發現了一批 Android 惡意程式很顯然是採用了 Hacking Team 事件當中的某項漏洞攻擊程式碼。這批在網路上發現的惡意應用程式一旦得逞,就能讓遠端駭客取得感染裝置的系統管理員 (root) 權限,所有 Android 4.4 (KitKat) 以及更早版本的行動裝置 (占了將近所有 Android 裝置的 57%)都受到此漏洞的影響。
攻擊細節
根據趨勢科技的分析,這批惡意應用程式含有一段稱為「reed」 的漏洞攻擊程式碼,也就是 Hacking Team 的 kernel_waiter_exploit 漏洞攻擊程式碼,這段程式可藉由 TowelRoot 漏洞 (CVE-2014-3153) 在裝置上植入一個後門程式,TowelRoot 是 Linux 系統在 2014 年就已修補的一個舊漏洞。
有了這個後門程式,駭客就能到幕後操縱 (C&C) 伺服器 (hxxps://remote.ibtubt.com/phone/ )下載最新的惡意程式到裝置上,並以系統管理員權限執行程式。
圖 1:Hacking Team 事件所外洩的漏洞攻擊程式碼。
駭客將這段漏洞攻擊程式碼暗藏在多款遊戲和 Launcher (啟動器) 應用程式當中,並透過下列網站散布:hxxp://risechen.b0.upaiyun.com,例如:Maria’s Coffie Shop、酷酷斗地主、iLauncher、One Launcher 以及 Launcher IP Style 6s 等等。我們發現至少有 88 個應用程式含有這段漏洞攻擊程式碼,但目前我們尚未見到其任何一個惡意程式在第三方應用程式商店上架。
圖 2:含有漏洞攻擊程式碼的惡意遊戲範例。
值得注意的是,我們在 Google Play 商店發現其中一個啟動器程式 (Motion Launcher),不過這是較舊且不含惡意程式碼的版本 (1.0.62_how_1504221926),但含有惡意程式碼的新版本 (1.0.78_how_1508051719) 與 Play 商店上的舊版本其實是使用相同的數位憑證所簽署,這表示兩個版本都是出自同一作者,而且兩個版本的程式碼當中都有作者的姓名:Ren Fei,我們推測,新的惡意版本應該沒有通過 Google 的審查所以才沒有上架。
圖 3:Google Play 商店上的非惡意版本 Launcher 程式詳細資料。
圖 4:正常和惡意版本的應用程式簽章對照。
趨勢科技將此漏洞攻擊程式碼命名為:ANDROIDOS_TOWELROOT.A。根據我們 Smart Protection Network的資料,絕大多數受感染的使用者都位於亞太地區。
圖 5:暗藏 TowelRoot 漏洞攻擊的惡意應用程式全球分布狀況。
拼湊全貌
我們試著從前述的零碎資料當中拼湊出這項攻擊的運作全貌。首先,我們從散布這些應用程式的網站 hxxp://risechen.b0.upaiyun.com下手,這個內容傳遞網路 (CDN) 網站:upaiyun.com (又拍雲) 是一家正派經營的雲端服務供應商,因此,顯然是該服務遭到濫用才會散布惡意應用程式。此外我們也發現,使用者在經由惡意網站或者經由其他應用程式的建議而下載其中某個 Android 應用程式安裝套件 (APK) 時,也會被重導到這個網站 (upaiyun.com),我們已經將這個狀況通報給 upaiyun。
此外,前述應用程式也會存取以下惡意應用程式商店:hxxp://android.kukool.net/api/android/appstore/v2/realtime,該網址隸屬於中國一家遊戲廠商所有,該公司會在第三方應用程式商店、甚至是 Google Play 商店上架一些正常的應用程式,但這些正常的應用程式會經由應用程式推薦的方式推送前述惡意商店中的應用程式給使用者。
藉由這項攻擊,歹徒就能透過 TowelRoot 漏洞在行動裝置上安裝後門程式,此外,還可從其 C&C 伺服器下載任何惡意程式碼到裝置上,並以系統管理員權限執行,破壞裝置的安全性。在某種程度上,這算是一種遠端遙控惡意程式,因為裝置一旦遭到感染,就會成為Botnet殭屍網路的一員,而某些變種更增加了裝置管理員鎖定以及應用程式隱藏功能,以避免被解除安裝。
採用新版 Android 作業系統 (Lollipop 及後續版本) 的行動裝置對這項攻擊免疫。雖然,隨時保持作業系統更新是一件好事,但礙於 Android 更新發布流程需經過多道關卡,這一點其實很難辦到。不過,使用者也不必驚慌,只要利用趨勢科技行動安全防護個人版和 行動安全防護解決方案這類資安軟體來掃描裝置,就能偵測前述惡意應用程式並攔截此攻擊相關的網址,萬一裝置不幸已經感染,那就需要重刷韌體來移除後門程式。
有關此威脅的惡意應用程式名稱、SHA1 雜湊碼及相關網址,請參閱這份附錄。
原文出處:Kernel Waiter Exploit from the Hacking Team Leak Still Being Used