Hacking Team的drive-by攻击被曝光

根据周一发表的研究表明，一个正在持续的drive-by攻击会强迫Android机上的勒索软件利用高危漏洞，这个漏洞存在于百万使用旧版本Google操作系统用户的手机上。

[[165916]]

攻击结合了至少两种高危漏洞，该漏洞存在于Android 4.0到4.3中。其中包括一个名为Towelroot 的漏洞，这个漏洞提供给攻击者不受任何约束就可以使用 root 权限访问受攻击用户的手机。该攻击代码似乎大量借鉴了去年7月意大利的 Hacking Team 泄漏的Android攻击脚本，但是它并没有直接复制该脚本。其他数据表明运行 Android 4.4 的设备可能也被感染了，但是攻击者可能利用了另一组不同的漏洞。

这是第一次、或至少是极少数次Android 漏洞在现实世界的drive-by攻击中被利用。多年以来，大多数 Android 恶意软件被社会工程活动广泛传播，社工活动欺骗用户安装伪装成有用良性app的恶意程序。这种drive-by攻击在过去至少60天中非常活跃，它被安全公司 Blue Coat 系统发现。这种攻击方式非常值得注意，因为它是完全隐形的，不需要任何用户交互。查看该公司发表的研究结果。

“它看起来是一种非常漂亮的复杂攻击”，Zimperium平台研究开发副总裁Joshua Drake表示，“这种攻击非常强大，因为它利用了软件中的漏洞采取默认安装的方式获得了受害者设备的完全控制权。据我所知，这次的攻击代表了全球第一个广泛drive-by下载攻击，它利用了漏洞链来瞄准 Android 用户。虽然这次攻击瞄准的是较老的漏洞，但是它代表着Android攻击领域攻击者使用的攻击方式的转变。”

Drake的评估基于代码审计。Blue Coat 实验室里的一台运行Android 4.2.2 的三星设备在查看跳转到一个色情网站的恶意广告链接后发现被感染。来自 Blue Coat 日志数据表明至少224台运行 Android 4.x(包括Android 4.4)的设备可能已经被感染。这些手机连接了77个由 Blue Coat 安全保护的不同的企业网络，所以数据可能只反应了被感染总数的一小部分。

Cyber.Police

一旦易受攻击的Blue Coat 平板访问了拥有诱杀装置的网页，该设备就会秘密被感染上一种名为 Cyber.Police 的勒索软件。这款应用至少从去年12月就开始流行，除非用户支付至少100刀的苹果iTunes礼品卡，不然攻击者就会对观看非法小黄片的用户采取法律行动。

这种恶意app把受感染的设备设为锁定状态，以防止设备拨打或接听电话或以其他途径使用设备。Blue Coat 的研究员 Andy Brandt 发现的唯一一种移除app的方式就是执行恢复出厂设置，但是网络搜索表明启动受感染设备的安全模式可能是更简单的恢复方法。

在感染期间，Brandt 捕获了平板电脑和诱杀网页间的流量。他把获得的所有数据提供给了Drake来进行进一步检查。Drake的分析发现，反混淆时，攻击中的 JavaScript 可能是攻击代码中最具有标志性的，因为它看起来是去年Hacking Team泄漏的代码。Hacking Team 的 JavaScript 强制受害的 Android 设备下载并执行攻击者选择的任意文件。Brandt平板上的可执行文件和链接格式文件利用 Towelroot 漏洞，并执行安装恶意软件 Cyber.Police app 的 Android APK。

这次攻击使用新获得的root权限来抑制安装新的app时安装权限弹出的允许对话框。它还使用了提升权限来关闭其他app和系统功能，并且有效的锁住了手机。

Towelroot 起源于 Linux 内核 futex 的本地权限升级漏洞(即 CVE-2014-3153)，这个 Linux 内核中的 bug 被 Comex 发现，一个名为 Pinkie Pie 的黑客在 Chrome 浏览器上发现了多个高危漏洞。这个 futex bug 允许无权限用户或者进程获得不受限制的 root 访问权限;几天之内，另一个黑客 George “GeoHot” Hotz 发现了一种方式利用这个 bug 来获得 Android 手机的 root 权限，让自己的手机做 Google、硬件制造商或运营商禁止做的事情。Google将Towelroot 插入到Android 4.4 版本中，而几乎25%的 Android 用户从未收到过这个版本。

攻击越发残酷但是仍然值得关注

利用水平和恶意应用程序本身形成了鲜明的对比。Cyber.Police 让人回想起很早以前的时候，勒索软件只能进行模糊的威胁并且主要用于抵抗锁定科技。而现在的设备上有加密锁并且app会进行文件加密。使用 iTunes 礼品卡接受支付是另一个展示了攻击越发残酷的特性，现在的支付趋势是比特币的需求增加，这意味着当局追查攻击会变得更加困难。

攻击其实还受到了其他限制。其中之一是即使使用一套独立的攻击代码来感染正在运行Android 4.4 的设备，攻击在一些设备上可能是可行的，但是这种攻击体系还没有完全被建立——之后的 Android 版本会对同一种攻击免疫。更重要的是，种种迹象表明，到目前为止，这种攻击只在色情网站上传播，并不影响主流 Web 性能。

尽管存在很多局限性，但是仍存在几个原因能够表明这种攻击的威胁还是值得关注的。其一是 Google 提供的数据，23.5%的 Android 设备仍存在攻击漏洞，如果 Blue Coat 发现的 Android 4.4 用户数据属实，那么这个百分比会立即增长到 57%。请记住，相当一部分脆弱手机永远都不会收到更新通知。

更广泛的说，该运动表明 drive-by 攻击针对的 Android 用户可能只是感染用户的一种方式。如果罪犯可以链接两个或多个公开可行的漏洞来安装一个 2-bit 勒索应用，那么毫无疑问，相同的技术可以再次使用，那么可能更多的用户会因此安装攻击性更高的应用。

Hacking Team 泄漏的利用代码请点击：https://github.com/f47h3r/hackingteam_exploits/tree/master/vector-exploit/src/ht-webkit-Android4-src/precompiled/debug