Dirty COW于2016年末被发现，是一个影响所有基于Linux的系统的计算机安全漏洞。令人惊讶的是，这个内核级缺陷自2007年以来就存在于Linux内核中，但直到2016年才被发现和利用。

今天，我们来看看这个漏洞到底是什么，它影响的系统，以及如何保护自己。

什么是脏牛的弱点(dirty cow vulnerability)？

Dirty COW漏洞是一种权限提升攻击，本质上意味着它可以用于在任何基于Linux的系统上获得根用户访问权限。虽然安全专家声称，此类利用行为并不少见，但其易被利用的性质以及它已经存在了11年多的事实却相当令人担忧。

事实上，莱纳斯·托瓦尔兹承认他在2007年发现了它，但却置之不理，认为这是一种“理论上的探索”

Dirty COW的名字来自内核内存管理系统中的copy-on-write（COW）机制。恶意程序可能会设置竞争条件，将文件的只读映射转换为可写映射。因此，低权限用户可以利用此缺陷提升其在系统上的权限。

通过获得root权限，恶意程序可以不受限制地访问系统。从那以后，它可以修改系统文件、部署键盘记录器、访问存储在设备上的个人数据等等。

哪些系统受到影响？

Dirty COW漏洞影响自2007年发布的2.6.22版以来的所有Linux内核版本。维基百科称，该漏洞已在内核版本4.8.3、4.7.9、4.4.26及更新版本中修补。一个补丁最初是在2016年发布的，但并没有完全解决这个问题，因此随后的补丁在2017年11月发布。

要检查当前的内核版本号，可以在基于Linux的系统上使用以下命令：

uname - r

主要的Linux发行版如Ubuntu、Debian、ArchLinux都发布了相应的补丁。因此，如果您还没有，请确保更新您的Linux内核。

因为现在大部分系统都打了补丁，所以风险就降低了，对吧？嗯，不完全是。

虽然大多数主流系统都已经打过补丁，但还有其他一些基于Linux的嵌入式设备仍然易受攻击。大多数嵌入式设备，尤其是便宜的，从来没有收到过**商的更新。不幸的是，你对此无能为力。

因此，从信誉良好、提供可靠售后支持的渠道购买物联网设备是非常重要的。

由于Android基于Linux内核，大多数Android设备也受到影响。

脏牛对android设备的影响

ZNIU是基于肮脏的牛漏洞的Android的第一个恶意软件。它可以用于根根任何Android设备，最高可达Android7.0Nougat。虽然该漏洞本身影响到所有版本的Android，但ZNIU却特别影响具有ARM/X86 64位体系结构的Android设备。

根据趋势科技的一份报告，截至2017年9月，在野外发现了超过30万个携带ZNIU的恶意应用。中国、印度、日本等50个国家的用户都受到了影响。这些应用大多伪装成**应用和游戏。

zniu android恶意软件的工作原理

受ZNIU影响的应用程序通常在恶意网站上以软色情应用程序的形式出现，用户被诱骗下载。由于Android使得侧载应用程序变得很容易，很多新手用户都会落入这个陷阱并下载它。

一旦被感染的应用程序启动，它就会与其命令和控制（C&C）服务器进行通信。然后，它利用Dirty COW漏洞授予自己超级用户权限。虽然无法远程利用该漏洞，但恶意应用仍可以在将来植入后门并执行远程控制攻击。

在应用程序获得根访问权限后，它会收集运营商信息并将其发送回服务器。然后，它通过基于短信的支付服务与运营商进行交易。然后，它通过运营商的支付服务收钱。Trend Micro的研究人员声称，这些款项是直接支付给一家总部设在中国的虚拟公司的。

如果目标公司位于中国境外，它将无法与运营商进行这些微交易，但它仍将植入后门安装其他恶意应用程序。

恶意软件的一个有趣之处在于，它执行微交易，每月大约3美元以保持不被注意。它还可以在事务完成后删除所有消息，因此更难检测。

如何保护自己免受锌污染

谷歌很快解决了这个问题，并在2016年12月发布了修补程序来解决这个问题。但是，这个补丁可以在运行android4.4kitkat或更高版本的设备上运行。

截至2018年1月，约6%的设备仍在运行低于4.4kitkat的Android版本。

虽然这听起来不算多，但仍有相当一部分人面临风险。

如果您的设备运行Android 4.4 KitKat及更高版本，请确保已安装最新的安全修补程序。要检查此项，请打开“设置”&gt；“关于**”。滚动到底部并检查Android安全补丁级别。

如果安装的安全修补程序比2016年12月更新，则应保护您不受此漏洞的影响。

谷歌还证实，谷歌Play Protect可以扫描受影响的应用程序，帮助你保持安全。但请记住，googleplay Protect要求您的设备经过认证才能正确使用Google应用程序。只有在通过兼容性测试后，**商才能将googleplay Protect等专有应用程序包括在内。好消息是，大多数主要**商都通过了谷歌认证。所以，除非你有一个真正便宜的仿Android设备，否则没什么好担心的。

虽然Android防病毒应用可以检测到这种提升权限的攻击，但它们无法阻止这种攻击。反病毒应用程序可能对其他功能（如防盗）有用，但在这种情况下肯定没有多大用处。

作为最后的预防措施，在安装来自未知来源的应用程序时，您应该留心。android8.0oreo使得安装来自未知来源的应用程序更加安全，但是你仍然应该谨慎行事。

保持安全：关键外卖

脏牛漏洞影响大量系统已不是秘密。值得庆幸的是，企业已经迅速采取行动来控制局面。大多数基于Linux的系统，如Ubuntu、Debian和Arch-Linux，都已经打过补丁。谷歌已经部署了PlayProtect来扫描Android上受影响的应用程序。

不幸的是，相当一部分运行带有受影响Linux内核的嵌入式系统的用户可能永远不会收到安全更新，从而使他们处于危险之中。那些**廉价仿品安卓设备的**商没有谷歌认证，从而使他们的买家面临风险。这样的买家不会收到安全更新，更不用说Android版本的更新了。

因此，跳过从这些**商那里购买设备是非常重要的。如果你碰巧拥有一个，是时候立即忽略它了。以下是一些最好的安卓**，不会在你的口袋里烧洞。我们其他人应该确保及时安装更新，并利用我们的常识在互联网上保持安全。

您的Linux系统是否曾经受到过Dirty COW漏洞或ZNIU恶意软件的影响？您是否及时安装安全更新？请在下面的评论中与我们分享您的想法。