Ragentek固件被广泛应用在近300万预算设备中,而日前在Ragentek固件中发现了一个Android后门程序,该后门程序允许攻击者使用中间人攻击并获得完全root访问权限。那么,这个后门程序是如何运作的,我们该如何应对?
Michael Cobb:固件是存储在非易失性内存(例如ROM、可擦除可编程只读内存或闪存)中的低级代码,用于更新。它在制造过程中嵌入到硬件中,并包含允许硬件运行的基本指令。与操作系统和应用软件一样,固件也可能包含可被利用的漏洞。
BitSight Technologies公司安全研究人员发现,在多种廉价Android手机品牌中,由于存在隐藏的后门程序,这些设备很容易受到代码执行攻击。这个Android后门程序是很大的安全隐患,因为攻击者可利用它来远程控制易受攻击的设备。来自BLU Products、Infinix和DOOGEE公司的手机最容易受到攻击。
该固件二进制文件由Ragentek Group开发,它以root权限运行,同时,它采用空中更新的方式,不过,这是通过未加密的通道进行。这不仅会在任何通信期间暴露用户特定信息,而且还允许攻击者通过中间人攻击作为以特权用户身份远程对设备执行系统命令。这可能导致安装具有系统特权或配置更改的恶意软件。
该固件会积极尝试隐藏自身,Linux ps和top命令返回的运行进程列表中去除二进制名称的引用,而Java框架也被修改为隐藏引用。
两个未注册的互联网域名被硬编码到该固件,如果注册的话,将使攻击者远程完全控制易受攻击的设备,而不需要执行MitM攻击。BitSight Technologies公司的子公司AnubisNetworks已经注册了这些域名以防止这种攻击发生。
该Android后门程序漏洞被标记为CVE-2016-6564,该CERT注释包括迄今为止发现的易受攻击型号列表。该后门程序可能是无意的,但企业应该认真对待这个问题,因为很多手机不太可能会有更新。到目前为止,貌似只有BLU Products已经发布补丁,而目前尚不清楚其有效性以及它是自动更新还是手动更新的。
虽然AnubisNetworks现在拥有这两个硬编码域,但精明的攻击团队可临时劫持指向这两个域的IP地址,并执行攻击。为了检查手机是否包含该Android后门程序,应监控到以下域的出站连接:oyag[.]lhzbdvm[.]com、oyag[.]prugskh[.]net和oyag[.]prugskh[.]com。
在安装有效补丁之前,受影响用户应只使用VPN软件来连接互联网。
本文转自d1net(转载)