Ragente固件是如何创建Android后门程序的?

日期:2017-4-14作者:Michael Cobb翻译:邹铮来源:TechTarget中国

【TechTarget中国原创】

Ragentek固件被广泛应用在近300万预算设备中,而日前在Ragentek固件中发现了一个Android后门程序,该后门程序允许攻击者使用中间人攻击并获得完全root访问权限。那么,这个后门程序是如何运作的,我们该如何应对?

Michael Cobb:固件是存储在非易失性内存(例如ROM、可擦除可编程只读内存或闪存)中的低级代码,用于更新。它在制造过程中嵌入到硬件中,并包含允许硬件运行的基本指令。与操作系统和应用软件一样,固件也可能包含可被利用的漏洞。

BitSight Technologies公司安全研究人员发现,在多种廉价Android手机品牌中,由于存在隐藏的后门程序,这些设备很容易受到代码执行攻击。这个Android后门程序是很大的安全隐患,因为攻击者可利用它来远程控制易受攻击的设备。来自BLU Products、Infinix和DOOGEE公司的手机最容易受到攻击。

该固件二进制文件由Ragentek Group开发,它以root权限运行,同时,它采用空中更新的方式,不过,这是通过未加密的通道进行。这不仅会在任何通信期间暴露用户特定信息,而且还允许攻击者通过中间人攻击作为以特权用户身份远程对设备执行系统命令。这可能导致安装具有系统特权或配置更改的恶意软件。

该固件会积极尝试隐藏自身,Linux ps和top命令返回的运行进程列表中去除二进制名称的引用,而Java框架也被修改为隐藏引用。

两个未注册的互联网域名被硬编码到该固件,如果注册的话,将使攻击者远程完全控制易受攻击的设备,而不需要执行MitM攻击。BitSight Technologies公司的子公司AnubisNetworks已经注册了这些域名以防止这种攻击发生。

该Android后门程序漏洞被标记为CVE-2016-6564,该CERT注释包括迄今为止发现的易受攻击型号列表。该后门程序可能是无意的,但企业应该认真对待这个问题,因为很多手机不太可能会有更新。到目前为止,貌似只有BLU Products已经发布补丁,而目前尚不清楚其有效性以及它是自动更新还是手动更新的。

虽然AnubisNetworks现在拥有这两个硬编码域,但精明的攻击团队可临时劫持指向这两个域的IP地址,并执行攻击。为了检查手机是否包含该Android后门程序,应监控到以下域的出站连接:oyag[.]lhzbdvm[.]com、oyag[.]prugskh[.]net和oyag[.]prugskh[.]com。

在安装有效补丁之前,受影响用户应只使用VPN软件来连接互联网。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Michael Cobb
Michael Cobb

Michael Cobb, CISSP - ISSAP在IT行业的安全方面有10年以上的经验,财经方面有16年的经验,他是Cobweb Applications Ltd的创办人兼常务董事,IT培训和数据安全与分析顾问。与人共同撰写IIS Security 这本书,并为许多IT出版物写了大量的技术性文章。Michael也是微软认证数据库管理员和微软认证专家。

补丁管理>更多

相关推荐

技术手册>更多

  • 服务器虚拟化安全

    从现在起,五年以后,几乎没有一家企业会使用“真正的”计算机。虚拟软件将会截取并模拟数据库、网络应用程序或者文件共享所能进行的一切工作,允许一个机架安装服务器起到10台服务器的作用。虚拟化是必然的;自IP网络以来,它是IT业最重要的新势力。对这一趋势带来的影响,安全专家如果有一种挥之不去的恐惧感,他们应该得到原谅。在内部网络中,虚拟化正重新绘制分布图;硬件以及网络过滤曾经将服务器和应用程序分离,虚拟化可以把它们集中到同一个刀片服务器上。影响深远的变化的到来不会没有安全挑战。

  • VPN应用指南

    虚拟专用网络 VPN(Virtual Private Network )能通过公用网络Internet建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。VPN是对企业内部网的扩展,它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。许多公司使用VPN向公司外部的员工提供企业网络接入。本手册将围绕VPN进行全方位的讲解。

  • 内部威胁管理

    由被授权人员造成的内部威胁都有很多的研究记录和法庭案件记录。根据美国的ACFE的记录,企业每年因诈骗而受到的损失大约在6520亿美元。不幸的是,内部威胁不只是诈骗,还要考虑到怠工,懒散,人为误差和外部的利用。如果你还没有认真审视过你的组织内部威胁管理,那么现在就应该看看了。

  • 笔记本电脑安全防护手册

    笔记本——多个身份——盗窃”这个话题好像已经重复了很多次了。不管是谁,饭店的清洁人员还是把笔记本放在车里的知名的审计员(他会在每年检查时想客户重复这些不注意的地方),笔记本和其他物理上不安全的电脑都在大量的丢失或者被窃。丢失笔记本已经不再只是不方便的事情了。最重要的是,这样会导致很多敏感信息处于风险之中。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算