Dirty COW於2016年末被發現，是一個影響所有基於Linux的系統的計算機安全漏洞。令人驚訝的是，這個內核級缺陷自2007年以來就存在於Linux內核中，但直到2016年才被發現和利用。

今天，我們來看看這個漏洞到底是什麼，它影響的系統，以及如何保護自己。

什麼是髒牛的弱點(dirty cow vulnerability)？

Dirty COW漏洞是一種權限提升攻擊，本質上意味著它可以用於在任何基於Linux的系統上獲得根用戶訪問權限。雖然安全專家聲稱，此類利用行為並不少見，但其易被利用的性質以及它已經存在了11年多的事實卻相當令人擔憂。

事實上，萊納斯·託瓦爾茲承認他在2007年發現了它，但卻置之不理，認為這是一種“理論上的探索”

Dirty COW的名字來自內核內存管理系統中的copy-on-write（COW）機制。惡意程序可能會設置競爭條件，將文件的只讀映射轉換為可寫映射。因此，低權限用戶可以利用此缺陷提升其在系統上的權限。

通過獲得root權限，惡意程序可以不受限制地訪問系統。從那以後，它可以修改系統文件、部署鍵盤記錄器、訪問存儲在設備上的個人數據等等。

哪些系統受到影響？

Dirty COW漏洞影響自2007年發佈的2.6.22版以來的所有Linux內核版本。維基百科稱，該漏洞已在內核版本4.8.3、4.7.9、4.4.26及更新版本中修補。一個補丁最初是在2016年發佈的，但並沒有完全解決這個問題，因此隨後的補丁在2017年11月發佈。

要檢查當前的內核版本號，可以在基於Linux的系統上使用以下命令：

主要的Linux發行版如Ubuntu、Debian、ArchLinux都發布了相應的補丁。因此，如果您還沒有，請確保更新您的Linux內核。

因為現在大部分系統都打了補丁，所以風險就降低了，對吧？嗯，不完全是。

雖然大多數主流系統都已經打過補丁，但還有其他一些基於Linux的嵌入式設備仍然易受攻擊。大多數嵌入式設備，尤其是便宜的，從來沒有收到過**商的更新。不幸的是，你對此無能為力。

因此，從信譽良好、提供可靠售後支持的渠道購買物聯網設備是非常重要的。

由於Android基於Linux內核，大多數Android設備也受到影響。

髒牛對android設備的影響

ZNIU是基於骯髒的牛漏洞的Android的第一個惡意軟件。它可以用於根根任何Android設備，最高可達Android7.0Nougat。雖然該漏洞本身影響到所有版本的Android，但ZNIU卻特別影響具有ARM/X86 64位體系結構的Android設備。

根據趨勢科技的一份報告，截至2017年9月，在野外發現了超過30萬個攜帶ZNIU的惡意應用。中國、印度、日本等50個國家的用戶都受到了影響。這些應用大多偽裝成**應用和遊戲。

zniu android惡意軟件的工作原理

受ZNIU影響的應用程序通常在惡意網站上以軟色情應用程序的形式出現，用戶被誘騙下載。由於Android使得側載應用程序變得很容易，很多新手用戶都會落入這個陷阱並下載它。

一旦被感染的應用程序啟動，它就會與其命令和控制（C&C）服務器進行通信。然後，它利用Dirty COW漏洞授予自己超級用戶權限。雖然無法遠程利用該漏洞，但惡意應用仍可以在將來植入後門並執行遠程控制攻擊。

在應用程序獲得根訪問權限後，它會收集運營商信息並將其發送回服務器。然後，它通過基於短信的支付服務與運營商進行交易。然後，它通過運營商的支付服務收錢。Trend Micro的研究人員聲稱，這些款項是直接支付給一家總部設在中國的虛擬公司的。

如果目標公司位於中國境外，它將無法與運營商進行這些微交易，但它仍將植入後門安裝其他惡意應用程序。

惡意軟件的一個有趣之處在於，它執行微交易，每月大約3美元以保持不被注意。它還可以在事務完成後刪除所有消息，因此更難檢測。

如何保護自己免受鋅汙染

谷歌很快解決了這個問題，並在2016年12月發佈了修補程序來解決這個問題。但是，這個補丁可以在運行android4.4kitkat或更高版本的設備上運行。

截至2018年1月，約6%的設備仍在運行低於4.4kitkat的Android版本。

雖然這聽起來不算多，但仍有相當一部分人面臨風險。

如果您的設備運行Android 4.4 KitKat及更高版本，請確保已安裝最新的安全修補程序。要檢查此項，請打開“設置”&gt；“關於**”。滾動到底部並檢查Android安全補丁級別。

如果安裝的安全修補程序比2016年12月更新，則應保護您不受此漏洞的影響。

谷歌還證實，谷歌Play Protect可以掃描受影響的應用程序，幫助你保持安全。但請記住，googleplay Protect要求您的設備經過認證才能正確使用Google應用程序。只有在通過兼容性測試後，**商才能將googleplay Protect等專有應用程序包括在內。好消息是，大多數主要**商都通過了谷歌認證。所以，除非你有一個真正便宜的仿Android設備，否則沒什麼好擔心的。

雖然Android防病毒應用可以檢測到這種提升權限的攻擊，但它們無法阻止這種攻擊。反病毒應用程序可能對其他功能（如防盜）有用，但在這種情況下肯定沒有多大用處。

作為最後的預防措施，在安裝來自未知來源的應用程序時，您應該留心。android8.0oreo使得安裝來自未知來源的應用程序更加安全，但是你仍然應該謹慎行事。

保持安全：關鍵外賣

髒牛漏洞影響大量系統已不是祕密。值得慶幸的是，企業已經迅速採取行動來控制局面。大多數基於Linux的系統，如Ubuntu、Debian和Arch-Linux，都已經打過補丁。谷歌已經部署了PlayProtect來掃描Android上受影響的應用程序。

不幸的是，相當一部分運行帶有受影響Linux內核的嵌入式系統的用戶可能永遠不會收到安全更新，從而使他們處於危險之中。那些**廉價仿品安卓設備的**商沒有谷歌認證，從而使他們的買家面臨風險。這樣的買家不會收到安全更新，更不用說Android版本的更新了。

因此，跳過從這些**商那裡購買設備是非常重要的。如果你碰巧擁有一個，是時候立即忽略它了。以下是一些最好的安卓**，不會在你的口袋裡燒洞。我們其他人應該確保及時安裝更新，並利用我們的常識在互聯網上保持安全。

您的Linux系統是否曾經受到過Dirty COW漏洞或ZNIU惡意軟件的影響？您是否及時安裝安全更新？請在下面的評論中與我們分享您的想法。