根據(jù)周一發(fā)表的研究表明，一個正在持續(xù)的drive-by攻擊會強迫Android機上的勒索軟件利用高危漏洞，這個漏洞存在于百萬使用舊版本Google操作系統(tǒng)用戶的手機上。

[[165916]]

攻擊結(jié)合了至少兩種高危漏洞，該漏洞存在于Android 4.0到4.3中。其中包括一個名為Towelroot 的漏洞，這個漏洞提供給攻擊者不受任何約束就可以使用 root 權(quán)限訪問受攻擊用戶的手機。該攻擊代碼似乎大量借鑒了去年7月意大利的 Hacking Team 泄漏的Android攻擊腳本，但是它并沒有直接復(fù)制該腳本。其他數(shù)據(jù)表明運行 Android 4.4 的設(shè)備可能也被感染了，但是攻擊者可能利用了另一組不同的漏洞。

這是第一次、或至少是極少數(shù)次Android 漏洞在現(xiàn)實世界的drive-by攻擊中被利用。多年以來，大多數(shù) Android 惡意軟件被社會工程活動廣泛傳播，社工活動欺騙用戶安裝偽裝成有用良性app的惡意程序。這種drive-by攻擊在過去至少60天中非?；钴S，它被安全公司 Blue Coat 系統(tǒng)發(fā)現(xiàn)。這種攻擊方式非常值得注意，因為它是完全隱形的，不需要任何用戶交互。查看該公司發(fā)表的研究結(jié)果。

“它看起來是一種非常漂亮的復(fù)雜攻擊”，Zimperium平臺研究開發(fā)副總裁Joshua Drake表示，“這種攻擊非常強大，因為它利用了軟件中的漏洞采取默認安裝的方式獲得了受害者設(shè)備的完全控制權(quán)。據(jù)我所知，這次的攻擊代表了全球第一個廣泛drive-by下載攻擊，它利用了漏洞鏈來瞄準 Android 用戶。雖然這次攻擊瞄準的是較老的漏洞，但是它代表著Android攻擊領(lǐng)域攻擊者使用的攻擊方式的轉(zhuǎn)變。”

Drake的評估基于代碼審計。Blue Coat 實驗室里的一臺運行Android 4.2.2 的三星設(shè)備在查看跳轉(zhuǎn)到一個色情網(wǎng)站的惡意廣告鏈接后發(fā)現(xiàn)被感染。來自 Blue Coat 日志數(shù)據(jù)表明至少224臺運行 Android 4.x(包括Android 4.4)的設(shè)備可能已經(jīng)被感染。這些手機連接了77個由 Blue Coat 安全保護的不同的企業(yè)網(wǎng)絡(luò)，所以數(shù)據(jù)可能只反應(yīng)了被感染總數(shù)的一小部分。

Cyber.Police

一旦易受攻擊的Blue Coat 平板訪問了擁有誘殺裝置的網(wǎng)頁，該設(shè)備就會秘密被感染上一種名為 Cyber.Police 的勒索軟件。這款應(yīng)用至少從去年12月就開始流行，除非用戶支付至少100刀的蘋果iTunes禮品卡，不然攻擊者就會對觀看非法小黃片的用戶采取法律行動。

這種惡意app把受感染的設(shè)備設(shè)為鎖定狀態(tài)，以防止設(shè)備撥打或接聽電話或以其他途徑使用設(shè)備。Blue Coat 的研究員 Andy Brandt 發(fā)現(xiàn)的唯一一種移除app的方式就是執(zhí)行恢復(fù)出廠設(shè)置，但是網(wǎng)絡(luò)搜索表明啟動受感染設(shè)備的安全模式可能是更簡單的恢復(fù)方法。

在感染期間，Brandt 捕獲了平板電腦和誘殺網(wǎng)頁間的流量。他把獲得的所有數(shù)據(jù)提供給了Drake來進行進一步檢查。Drake的分析發(fā)現(xiàn)，反混淆時，攻擊中的 JavaScript 可能是攻擊代碼中最具有標志性的，因為它看起來是去年Hacking Team泄漏的代碼。Hacking Team 的 JavaScript 強制受害的 Android 設(shè)備下載并執(zhí)行攻擊者選擇的任意文件。Brandt平板上的可執(zhí)行文件和鏈接格式文件利用 Towelroot 漏洞，并執(zhí)行安裝惡意軟件 Cyber.Police app 的 Android APK。

這次攻擊使用新獲得的root權(quán)限來抑制安裝新的app時安裝權(quán)限彈出的允許對話框。它還使用了提升權(quán)限來關(guān)閉其他app和系統(tǒng)功能，并且有效的鎖住了手機。

Towelroot 起源于 Linux 內(nèi)核 futex 的本地權(quán)限升級漏洞(即 CVE-2014-3153)，這個 Linux 內(nèi)核中的 bug 被 Comex 發(fā)現(xiàn)，一個名為 Pinkie Pie 的黑客在 Chrome 瀏覽器上發(fā)現(xiàn)了多個高危漏洞。這個 futex bug 允許無權(quán)限用戶或者進程獲得不受限制的 root 訪問權(quán)限;幾天之內(nèi)，另一個黑客 George “GeoHot” Hotz 發(fā)現(xiàn)了一種方式利用這個 bug 來獲得 Android 手機的 root 權(quán)限，讓自己的手機做 Google、硬件制造商或運營商禁止做的事情。Google將Towelroot 插入到Android 4.4 版本中，而幾乎25%的 Android 用戶從未收到過這個版本。

攻擊越發(fā)殘酷但是仍然值得關(guān)注

利用水平和惡意應(yīng)用程序本身形成了鮮明的對比。Cyber.Police 讓人回想起很早以前的時候，勒索軟件只能進行模糊的威脅并且主要用于抵抗鎖定科技。而現(xiàn)在的設(shè)備上有加密鎖并且app會進行文件加密。使用 iTunes 禮品卡接受支付是另一個展示了攻擊越發(fā)殘酷的特性，現(xiàn)在的支付趨勢是比特幣的需求增加，這意味著當局追查攻擊會變得更加困難。

攻擊其實還受到了其他限制。其中之一是即使使用一套獨立的攻擊代碼來感染正在運行Android 4.4 的設(shè)備，攻擊在一些設(shè)備上可能是可行的，但是這種攻擊體系還沒有完全被建立——之后的 Android 版本會對同一種攻擊免疫。更重要的是，種種跡象表明，到目前為止，這種攻擊只在色情網(wǎng)站上傳播，并不影響主流 Web 性能。

盡管存在很多局限性，但是仍存在幾個原因能夠表明這種攻擊的威脅還是值得關(guān)注的。其一是 Google 提供的數(shù)據(jù)，23.5%的 Android 設(shè)備仍存在攻擊漏洞，如果 Blue Coat 發(fā)現(xiàn)的 Android 4.4 用戶數(shù)據(jù)屬實，那么這個百分比會立即增長到 57%。請記住，相當一部分脆弱手機永遠都不會收到更新通知。

更廣泛的說，該運動表明 drive-by 攻擊針對的 Android 用戶可能只是感染用戶的一種方式。如果罪犯可以鏈接兩個或多個公開可行的漏洞來安裝一個 2-bit 勒索應(yīng)用，那么毫無疑問，相同的技術(shù)可以再次使用，那么可能更多的用戶會因此安裝攻擊性更高的應(yīng)用。

Hacking Team 泄漏的利用代碼請點擊：https://github.com/f47h3r/hackingteam_exploits/tree/master/vector-exploit/src/ht-webkit-Android4-src/precompiled/debug