سوءاستفاده از Kernel Waiter همچنان ادامه دارد!

اگر چه نشت اطلاعات تیم هکینگ چندین ماه پیش رخ داده است، اما تأثیر این نفوذ به داده‌ها (وقتی که کدهای بهره‌برداری عمومی شده و موجب انجام زنجیره‌ای از حملات گردیدند) همچنان تا امروز احساس می‌شود. اخیراً نرم‌افزارهای اندروید آلوده‌ای شناسایی شده است که به نظر می‌رسد از آن نوع بهره‌برداری که در حملات تیم هکینگ به کار رفته بود، استفاده می‌کنند.

نرم‌افزارهایی که در وب‌گاه‌های مشخصی یافته شده‌اند به مهاجمان راه دور اجازه می‌دهند تا پس از انجام موفق این بهره‌برداری به دسترسی ریشه برسند. دستگاه‌های تلفن همراهی که سامانه‎عامل اندروید ۴.۴ (کیت کت) و یا پایین‌تر را بر روی خود نصب دارند که حدود ۵۷ درصد از دستگاه‌های موبایل اندروید را شامل می‌شوند، مستعد ابتلاء به این حملات و سوءاستفاده از این حفره هستند.

جزئیات حمله
براساس تحلیل صورت گرفته، نرم‌افزارهای آلوده که شامل یک بهره‌بردار باینری به نام reed هستند از بهره‌برداری هکینگ تیم به نام kernel_waiter_exploit استفاده می‌کنند. بهره‌برداری بعدی از آسیب‌پذیری TowelRoot با شناسه CVE-۲۰۱۴-۳۱۵۳ استفاده می‌کند تا یک در ِپشتی را در دستگاه قربانی مستقر نماید. TowelRoot یک آسیب‌پذیری نسبتاً قدیمی در لینوکس است که در سال ۲۰۱۴ وصله شده است.
با این در ِ پشتی در ریشه، این بدافزار آخرین بار داده‎ی مخرب خود را برای اجرا در سطح ریشه از کارگزار C&C

hxxps://remote[.]ibtubt[.]com/phone

دریافت می‌کند.

۱_۳۵
کلاهبرداران سایبری که پشت این حمله قرار داشته‌اند کد سوءاستفاده را در چندین نرم‌افزار بازی و لانچر که در وب‌گاه

hxxp://risechen[.]b۰[.]upaiyun[.]com

میزبانی می‌شدند، تعبیه کرده‌اند. برخی نمونه‌ها از نرم‌افزارهای آلوده شامل Maria’s coffie shop ،酷酷斗地主 ،iLauncher ،One Launcher و Launcher IP Style ۶s و … بوده‌اند. دست کم ۸۸ نرم‌افزار آلوده با این بهره‌برداری مشاهده شده است. در حال حاضر هیچکدام از این نرم‌افزارها در فروشگاه‌های نرم‌افزاری سوم شخص مشاهده نشده است.

۲_۲۸
با کمال تعجب یکی از این نرم‌افزارهای لانچر (به نام Motion Laucher) در فروشگاه گوگل پلی مشاهده شده است، هر چند که نسخه‌ی پایین‌تر و غیر آلوده این نرم‌افزار بود (۱.۰.۶۲_how_۱۵۰۴۲۲۱۹۲۶). نسخه‌ی بالاتر (۱.۰.۷۸_how_۱۵۰۸۰۵۱۷۱۹) با کدهای آلوده با همان گواهی‎نامه از نسخه‌ای که در گوگل پلی بود امضاء شده بود. این نشان می‌دهد که هر دو نسخه توسط یک توسعه‌دهنده تولید شده است. هر دو این نسخه‌ها نام یک نویسنده را به نام Ren Fei نشان می‌دهند. حدس زده می‎شود که با توجه به روند بررسی گوگل، نسخه‌ی آلوده نتوانسته است که وارد فروشگاه گوگل پلی شود.
۳_۱۹ ۴_۱۱

شرکت Trend Micro بهره‌برداری باینری را به عنوان ANDROIDOS_TOWELROOT کشف کرده است. بر اساس داده‌های شبکه‌ی هوشمند حفاظت، اکثر کاربرانی که آلوده شده‌اند در منطقه‌ی آسیا و اقیانوس آرام بوده‌اند.
۵_۶

تلاش شده است تا جزئیات موارد مطرح شده در بالا، در کنار هم قرار داده شود تا درک بهتری از این حمله بدست آید. فرآیند بررسی با نگاه کردن به وب‌گاه (hxxp://risechen[.]b۰[.]upaiyun[.]com) شروع شده است، که در آن این نرم‌افزارها میزبانی می‌شدند. با توجه به اینکه وب‌گاه CDN upaiyun.com، یک ارائه‌دهنده‌ قانونی خدمات ابری است، به نظر می‌رسد که این نرم‌افزارها از خدمات این ارائه‌دهنده سوءاستفاده کرده‌اند. همچنین زمانی که کاربران یک بسته نرم‌افزار اندروید APK را از طریق وب‌گاه‌های آلوده با توصیه‌ی دیگر نرم‌افزارها بارگیری می‌کند، می‌توانند به این وب‌گاه upaiyun.com تغییر مسیر داده شوند. این ماجرا به upaiyun. اطلاع‌ داده شده است.

همچنین نرم‌افزارهای مذکور به فروشگاه نرم‌افزاری آلوده‌ی hxxp://android[.]kukool[.]net/api/android/appstore/v۲/realtime نیز دسترسی داشتند که متعلق به یک شرکت بازی‌سازی در چین بود. این شرکت به توزیع نرم‌افزارهای معمول به فروشگاه‌های ثالث و حتی فروشگاه گوگل پلی می‌پردازد. این نرم‌افزارهای غیرآلوده با بخش توصیه نرم‌افزاری خود، نرم‌افزارهای مخرب را از فروشگاه آلوده‌ی فوق به کاربران توصیه می‌کردند.

به این شکل مجرمان سایبری می‌توانستند از TowelRoot برای استقرار در ِپشتی در داخل دستگاه‌های تلفن همراه استفاده کنند. به این شکل آن‌ها می‌توانستند هر کد آلوده‌ای را از کارگزارهای C&C بارگیری کرده و با داشتن اجازه‌ی ریشه اجرا کنند و امنیت دستگاه را از بین می‌بردند. تا حدی هم می‌توان آن‎ها را به عنوان بدافزارهای کنترل راه دور نشانه‌گذاری کرد، زیرا به محض اینکه یک دستگاه به‎روزرسانی نشده آلوده شد، تبدیل به بخشی از ربات در اختیار آن‎ها می‌شود. در برخی از موارد عملکردهایی همچون قفل مدیریت دستگاه و مخفی کردن نرم‌افزار نیز اضافه می‌شد تا از حذف نرم‌افزار جلوگیری شود.

دستگاه‌هایی که آخرین نسخه‌های اندروید (لالی پاپ و بالاتر) را اجرا می‌کنند در معرض ابتلاء به این بدافزار قرار ندارند. حتی اگر از طریق مراحل منطقی کاربران بخواهند سامانه‎عامل خود را به‎روزرسانی کنند، به خاطر چالش‌هایی که به خاطر وضعیت پراکندگی دستگاه‌های تلفن همراه وجود دارد، این کار تقریباً غیرمحتمل است. با این حال، کاربران می‌توانند نرم‌افزارهایی را که از منابع ناشناخته بارگیری کرده‌اند با نرم‌افزارهای امنیتی نظیر Mobile Security Personal Edition و Mobile Security Solutions از شرکت ترند میکرو بررسی کنند و اگر نرم‌افزار مخربی را یافتند آن را به همراه نشانی اینترنتی وابسته به آن مسدود کنند. اگر دستگاه تا آن زمان آلوده شده است، نصب دوباره سامانه‎عامل برای از بین بردن در ِپشتی ضروری است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.