Ragente固件是如何创建Android后门程序的?

日期:2017-4-14作者:Michael Cobb翻译:邹铮来源:TechTarget中国

【TechTarget中国原创】

Ragentek固件被广泛应用在近300万预算设备中,而日前在Ragentek固件中发现了一个Android后门程序,该后门程序允许攻击者使用中间人攻击并获得完全root访问权限。那么,这个后门程序是如何运作的,我们该如何应对?

Michael Cobb:固件是存储在非易失性内存(例如ROM、可擦除可编程只读内存或闪存)中的低级代码,用于更新。它在制造过程中嵌入到硬件中,并包含允许硬件运行的基本指令。与操作系统和应用软件一样,固件也可能包含可被利用的漏洞。

BitSight Technologies公司安全研究人员发现,在多种廉价Android手机品牌中,由于存在隐藏的后门程序,这些设备很容易受到代码执行攻击。这个Android后门程序是很大的安全隐患,因为攻击者可利用它来远程控制易受攻击的设备。来自BLU Products、Infinix和DOOGEE公司的手机最容易受到攻击。

该固件二进制文件由Ragentek Group开发,它以root权限运行,同时,它采用空中更新的方式,不过,这是通过未加密的通道进行。这不仅会在任何通信期间暴露用户特定信息,而且还允许攻击者通过中间人攻击作为以特权用户身份远程对设备执行系统命令。这可能导致安装具有系统特权或配置更改的恶意软件。

该固件会积极尝试隐藏自身,Linux ps和top命令返回的运行进程列表中去除二进制名称的引用,而Java框架也被修改为隐藏引用。

两个未注册的互联网域名被硬编码到该固件,如果注册的话,将使攻击者远程完全控制易受攻击的设备,而不需要执行MitM攻击。BitSight Technologies公司的子公司AnubisNetworks已经注册了这些域名以防止这种攻击发生。

该Android后门程序漏洞被标记为CVE-2016-6564,该CERT注释包括迄今为止发现的易受攻击型号列表。该后门程序可能是无意的,但企业应该认真对待这个问题,因为很多手机不太可能会有更新。到目前为止,貌似只有BLU Products已经发布补丁,而目前尚不清楚其有效性以及它是自动更新还是手动更新的。

虽然AnubisNetworks现在拥有这两个硬编码域,但精明的攻击团队可临时劫持指向这两个域的IP地址,并执行攻击。为了检查手机是否包含该Android后门程序,应监控到以下域的出站连接:oyag[.]lhzbdvm[.]com、oyag[.]prugskh[.]net和oyag[.]prugskh[.]com。

在安装有效补丁之前,受影响用户应只使用VPN软件来连接互联网。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Michael Cobb
Michael Cobb

Michael Cobb, CISSP - ISSAP在IT行业的安全方面有10年以上的经验,财经方面有16年的经验,他是Cobweb Applications Ltd的创办人兼常务董事,IT培训和数据安全与分析顾问。与人共同撰写IIS Security 这本书,并为许多IT出版物写了大量的技术性文章。Michael也是微软认证数据库管理员和微软认证专家。

补丁管理>更多

相关推荐

技术手册>更多

  • 企业风险安全管理

    企业风险安全管理的需求正在推动身份识别管理和内容监视等技术的发展。但是,有太多的企业正在依靠技术而不是政策来处理风险管理问题。风险管理是种关键推动因素,你需要搞清楚需要做什么,而且应该把钱花在什么地方……</P

  • 一个新的安全计划

    个人智能手机和其他计算设备正不断涌入企业,迫使关于安全的思考发生转变。现在就更新你的安全策略,在你还没有败倒在个人智能手机的猛攻前。

  • 远程访问安全

    在有些时候,你可能需要有远程用户连接到你的网络上。远程计算在生产力和环境上有些得到证明的优势,但是并不是没有缺点——大部分的时候以信息安全风险的形式出现。如果远程用户的电脑感染了病毒或者他们在不安全对的无线连接上传送敏感的电子邮件和即时消息时,会发生什么事儿呢?

  • 安全补丁管理指南

    补丁管理已经困扰企业很多年了。随着技术的进步和攻击者对漏洞攻击方法的开发,电脑安全的管理在维护业务架构的完整性上越来越重要了。作为一种提前的主动行为,安全补丁管理是保护企业电脑架构的防御前线。补丁管理是使电脑和现有的软件产品开发的更新保持一致的人、程序和技术。安全补丁管理是关注减少安全漏洞的补丁管理。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算