Ragente固件是如何创建Android后门程序的?

日期:2017-4-14作者:Michael Cobb翻译:邹铮来源:TechTarget中国

【TechTarget中国原创】

Ragentek固件被广泛应用在近300万预算设备中,而日前在Ragentek固件中发现了一个Android后门程序,该后门程序允许攻击者使用中间人攻击并获得完全root访问权限。那么,这个后门程序是如何运作的,我们该如何应对?

Michael Cobb:固件是存储在非易失性内存(例如ROM、可擦除可编程只读内存或闪存)中的低级代码,用于更新。它在制造过程中嵌入到硬件中,并包含允许硬件运行的基本指令。与操作系统和应用软件一样,固件也可能包含可被利用的漏洞。

BitSight Technologies公司安全研究人员发现,在多种廉价Android手机品牌中,由于存在隐藏的后门程序,这些设备很容易受到代码执行攻击。这个Android后门程序是很大的安全隐患,因为攻击者可利用它来远程控制易受攻击的设备。来自BLU Products、Infinix和DOOGEE公司的手机最容易受到攻击。

该固件二进制文件由Ragentek Group开发,它以root权限运行,同时,它采用空中更新的方式,不过,这是通过未加密的通道进行。这不仅会在任何通信期间暴露用户特定信息,而且还允许攻击者通过中间人攻击作为以特权用户身份远程对设备执行系统命令。这可能导致安装具有系统特权或配置更改的恶意软件。

该固件会积极尝试隐藏自身,Linux ps和top命令返回的运行进程列表中去除二进制名称的引用,而Java框架也被修改为隐藏引用。

两个未注册的互联网域名被硬编码到该固件,如果注册的话,将使攻击者远程完全控制易受攻击的设备,而不需要执行MitM攻击。BitSight Technologies公司的子公司AnubisNetworks已经注册了这些域名以防止这种攻击发生。

该Android后门程序漏洞被标记为CVE-2016-6564,该CERT注释包括迄今为止发现的易受攻击型号列表。该后门程序可能是无意的,但企业应该认真对待这个问题,因为很多手机不太可能会有更新。到目前为止,貌似只有BLU Products已经发布补丁,而目前尚不清楚其有效性以及它是自动更新还是手动更新的。

虽然AnubisNetworks现在拥有这两个硬编码域,但精明的攻击团队可临时劫持指向这两个域的IP地址,并执行攻击。为了检查手机是否包含该Android后门程序,应监控到以下域的出站连接:oyag[.]lhzbdvm[.]com、oyag[.]prugskh[.]net和oyag[.]prugskh[.]com。

在安装有效补丁之前,受影响用户应只使用VPN软件来连接互联网。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

作者>更多

Michael Cobb
Michael Cobb

Michael Cobb, CISSP - ISSAP在IT行业的安全方面有10年以上的经验,财经方面有16年的经验,他是Cobweb Applications Ltd的创办人兼常务董事,IT培训和数据安全与分析顾问。与人共同撰写IIS Security 这本书,并为许多IT出版物写了大量的技术性文章。Michael也是微软认证数据库管理员和微软认证专家。

补丁管理>更多

相关推荐

技术手册>更多

  • 恶意软件检测与防御

    一般来说,恶意软件只是进入系统的切入点,通过下载和安装其他应用来获取管理权限,完成攻击。然而,随着网络安全战的持续胶着,威胁环境日益复杂,恶意软件也在连番升级……

  • 高级持续性威胁(APT)剖析与防护

    高级持续性威胁(APT)的目标是访问企业网络、获取数据,并长期地秘密监视目标计算机系统。这种威胁很难检测和清除,因为它看起来并不象是恶意软件,却深入到企业的计算系统中。此外,APT的设计者和发动者为逃避检测还会不断地改变其代码,从而持续地监视和指引其活动。那么,企业是否就拿这种威胁束手无策了呢?当然不是的。

  • 善用威胁情报 加固企业安全

    多年来,企业投资于安全信息和事件管理以及日志管理技术来收集、管理和分析日志。大规模数据分析领域的进步让企业使用程序得以从数据中发现异常活动和分析攻击。然而,企业很容易被从这些数据中获得的指标和警告所淹没。这正是威胁情报派上用场的时候。

  • 端点安全实用指南

    端点安全一直是令IT团队头痛的问题。如今,越来越多的员工使用自己的智能手机、平板电脑和笔记本进行工作,同时,这些设备中平台和服务数量日益增多,再加上云计算技术使用的增加,都让信息安全专业人士更加头痛。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心