根据周一发表的研究表明,一个正在持续的drive-by攻击会强迫Android机上的勒索软件利用高危漏洞,这个漏洞存在于百万使用旧版本Google操作系统用户的手机上。
攻击结合了至少两种高危漏洞,该漏洞存在于Android 4.0到4.3中。其中包括一个名为Towelroot 的漏洞,这个漏洞提供给攻击者不受任何约束就可以使用 root 权限访问受攻击用户的手机。该攻击代码似乎大量借鉴了去年7月意大利的 Hacking Team泄漏的Android攻击脚本,但是它并没有直接复制该脚本。其他数据表明运行 Android 4.4 的设备可能也被感染了,但是攻击者可能利用了另一组不同的漏洞。
这是第一次、或至少是极少数次Android 漏洞在现实世界的drive-by攻击中被利用。多年以来,大多数 Android 恶意软件被社会工程活动广泛传播,社工活动欺骗用户安装伪装成有用良性app的恶意程序。这种drive-by攻击在过去至少60天中非常活跃,它被安全公司 Blue Coat 系统发现。这种攻击方式非常值得注意,因为它是完全隐形的,不需要任何用户交互。查看该公司发表的研究结果。
“它看起来是一种非常漂亮的复杂攻击”,Zimperium平台研究开发副总裁Joshua Drake表示,“这种攻击非常强大,因为它利用了软件中的漏洞采取默认安装的方式获得了受害者设备的完全控制权。据我所知,这次的攻击代表了全球第一个广泛drive-by下载攻击,它利用了漏洞链来瞄准 Android 用户。虽然这次攻击瞄准的是较老的漏洞,但是它代表着Android攻击领域攻击者使用的攻击方式的转变。”
Drake的评估基于代码审计。Blue Coat 实验室里的一台运行Android 4.2.2 的三星设备在查看跳转到一个色情网站的恶意广告链接后发现被感染。来自 Blue Coat 日志数据表明至少224台运行 Android 4.x(包括Android 4.4)的设备可能已经被感染。这些手机连接了77个由 Blue Coat 安全保护的不同的企业网络,所以数据可能只反应了被感染总数的一小部分。
Cyber.Police
一旦易受攻击的Blue Coat 平板访问了拥有诱杀装置的网页,该设备就会秘密被感染上一种名为 Cyber.Police 的勒索软件。这款应用至少从去年12月就开始流行,除非用户支付至少100刀的苹果iTunes礼品卡,不然攻击者就会对观看非法小黄片的用户采取法律行动。
这种恶意app把受感染的设备设为锁定状态,以防止设备拨打或接听电话或以其他途径使用设备。Blue Coat 的研究员 Andy Brandt 发现的唯一一种移除app的方式就是执行恢复出厂设置,但是网络搜索表明启动受感染设备的安全模式可能是更简单的恢复方法。
在感染期间,Brandt 捕获了平板电脑和诱杀网页间的流量。他把获得的所有数据提供给了Drake来进行进一步检查。Drake的分析发现,反混淆时,攻击中的 JavaScript 可能是攻击代码中最具有标志性的,因为它看起来是去年Hacking Team泄漏的代码。Hacking Team 的 JavaScript 强制受害的 Android 设备下载并执行攻击者选择的任意文件。Brandt平板上的可执行文件和链接格式文件利用 Towelroot 漏洞,并执行安装恶意软件 Cyber.Police app 的 Android APK。
这次攻击使用新获得的root权限来抑制安装新的app时安装权限弹出的允许对话框。它还使用了提升权限来关闭其他app和系统功能,并且有效的锁住了手机。
Towelroot 起源于 Linux 内核 futex 的本地权限升级漏洞(即 CVE-2014-3153),这个 Linux 内核中的 bug 被 Comex 发现,一个名为 Pinkie Pie 的黑客在 Chrome 浏览器上发现了多个高危漏洞。这个 futex bug 允许无权限用户或者进程获得不受限制的 root 访问权限;几天之内,另一个黑客 George “GeoHot” Hotz 发现了一种方式利用这个 bug 来获得 Android 手机的 root 权限,让自己的手机做 Google、硬件制造商或运营商禁止做的事情。Google将Towelroot 插入到Android 4.4 版本中,而几乎25%的 Android 用户从未收到过这个版本。
攻击越发残酷但是仍然值得关注
利用水平和恶意应用程序本身形成了鲜明的对比。Cyber.Police 让人回想起很早以前的时候,勒索软件只能进行模糊的威胁并且主要用于抵抗锁定科技。而现在的设备上有加密锁并且app会进行文件加密。使用 iTunes 礼品卡接受支付是另一个展示了攻击越发残酷的特性,现在的支付趋势是比特币的需求增加,这意味着当局追查攻击会变得更加困难。
攻击其实还受到了其他限制。其中之一是即使使用一套独立的攻击代码来感染正在运行Android 4.4 的设备,攻击在一些设备上可能是可行的,但是这种攻击体系还没有完全被建立——之后的 Android 版本会对同一种攻击免疫。更重要的是,种种迹象表明,到目前为止,这种攻击只在色情网站上传播,并不影响主流 Web 性能。
尽管存在很多局限性,但是仍存在几个原因能够表明这种攻击的威胁还是值得关注的。其一是 Google 提供的数据,23.5%的 Android 设备仍存在攻击漏洞,如果 Blue Coat 发现的 Android 4.4 用户数据属实,那么这个百分比会立即增长到 57%。请记住,相当一部分脆弱手机永远都不会收到更新通知。
更广泛的说,该运动表明 drive-by 攻击针对的 Android 用户可能只是感染用户的一种方式。如果罪犯可以链接两个或多个公开可行的漏洞来安装一个 2-bit 勒索应用,那么毫无疑问,相同的技术可以再次使用,那么可能更多的用户会因此安装攻击性更高的应用。
Hacking Team 泄漏的利用代码请点击:
Ultrabay 硬盘驱动器 HDD1 上读取错误怎么解决
THINKPAD开机错误消息及报警信息详解2112: Read error on HDD1 (Ultrabay hard disk drive)(Ultrabay 硬盘驱动器 HDD1 上读取错误)可能硬盘主分区引导损坏!你试下在纯DOS下输入FDISK /MBR 试下修复 或者使用Diskgenius>选中从硬盘>重建主引导记录(MBR)
进入主板修改:软驱、光驱、硬盘的启动顺序方法?
(1) 重起,然后按:DEL键 (2) 出现:《Main(主菜单)》、《Advanced(高级选项)》、《Power(电源管理)》、《Boot(引导)》、《Exit(退出)》 (3) 选中:Boot,出现: ①Removable Device 〈Legacy Floppy〉软盘启动 ②IDE Hard Drive 〈QUANTUM FIREBAUPLM〉硬盘启动 ③ATAPI CD-ROM 〈ATAPI-CD ROM-DRIVE-5〉光盘启动 ④Other Boot Device〈INTI8 Devicecnetwor〉网络 Disabled<禁用》 Enabled<开启》Plug & Playo/s<即插即用>Boot virus Detection<防病毒引导修复》 Quick Power on self Test<快速显示硬件检测》 Legacy Floppy <软驱》 Seek<搜索》IDE Hard Drive<硬盘> Device<驱动器> Removabie <远方> Other<其它> Network<网络> Full Screen 《屏幕显示完全》 Loggo<商标》 Exit Saving Changes<保存退出> Exit Discarding Changes<不保存退出> Load Setup Defaults<设置为低级设定> Discard Changes<保存改动> 注:1、2、3、4项可用Shift键+、—键配合调换它们的先后顺序。 (4) 选中①、②、③、④的某一项后按回车键,就会出现选项, (5) 选中:Exit(退出),出现〈(Yes)〉〈No〉,按回车。 第二种BOOT 1、启动电脑,2、按DEL键;3、用上下键选中:Advnced BIOS Features (回车);4、用上下键选中:BOOT Seq & Flopy Setup(回车);5、用上下键选中:First BOOT Device (CDROM),然后用:PageUP 和Page Down键来切换光驱与硬盘的顺序。 Esc Kcy:主菜单,退出且不保存变更至CMOS 退出当前菜单画面,回至主菜单。 F10 Kcy 储存设定,退出设定程序。 设置方法:1.启动计算机,并按住DEL键不放,直到出现BIOS设置窗口(通常为蓝色背景,黄色英文字)。 2.选择并进入第二项,“BIOS SETUP”(BIOS设置)。 在里面找到包含BOOT文字的项或组,并找到依次排列的“FIRST”“SECEND”“THIRD”三项,分别代表“第一项启动”“第二项启动”和“第三项启动”。 这里我们按顺序依次设置为“光驱”“软驱”“硬盘”即可。 (如在这一页没有见到这三项E文,通常BOOT右边的选项菜单为“SETUP”,这时按回车进入即可看到了)应该选择“FIRST”敲回车键,在出来的子菜单选择CD-ROM。 再按回车键3.选择好启动方式后,按F10键,出现E文对话框,按“Y”键(可省略),并回车,计算机自动重启,证明更改的设置生效了。 麻烦采纳,谢谢!
a盘不见的怎么办?
1、先检查硬件,连线是否正确、完好;2、检查在BIOS中禁用了软盘驱动器,在“Standard CMOS Features”中,发现“Drive A”是否被设置成了“NONE”?3、“开始”---“运行”---输入“”运行组策略,在“用户配置---管理模板---windows组件---资源管理器”右侧窗口中,找到“隐藏‘我的电脑’中这些指定的驱动器”,双击,在属性框中检查是否将“未配置”设为“已启用”了;在下拉菜单中是否选择了“仅限制驱动器A和B”;
发表评论