北京2014年12月18日電 /美通社/ -- 企業(yè)安全領(lǐng)域引領(lǐng)者 Palo Alto Networks®(紐約證券交易所:PANW)近日披露一個(gè)后門程序的細(xì)節(jié)。該后門程序包含在全球較大的智能手機(jī)制造商之一 -- 中國(guó)酷派集團(tuán) (Coolpad) 所出售的數(shù)以百萬計(jì)的酷派系列移動(dòng)設(shè)備中。該后門程序名為“CoolReaper”,可在潛在的惡意活動(dòng)中暴露用戶信息??崤刹活櫽脩舴磳?duì),似乎已安裝并維護(hù)著該后門程序。
通常情況下,移動(dòng)設(shè)備制造商在谷歌安卓移動(dòng)操作系統(tǒng)上安裝軟件可以為安卓設(shè)備提供更多的功能和定制化服務(wù),同時(shí)一些移動(dòng)運(yùn)營(yíng)商也會(huì)安裝某些應(yīng)用程序用來搜集設(shè)備性能數(shù)據(jù)。Palo Alto Networks 威脅情報(bào)團(tuán)隊(duì) Unit 42 對(duì)此進(jìn)行了詳細(xì)分析,CoolReaper 作為一個(gè)真正的后臺(tái)程序植入酷派系列設(shè)備中除了搜集基本使用數(shù)據(jù)之外,似乎也進(jìn)行著其他動(dòng)作。此外,酷派似乎已對(duì)安卓操作系統(tǒng)版本進(jìn)行了修改,以防止反病毒程序檢測(cè)到此后門程序。
Palo Alto Networks 研究員 Claud Xiao 在出售的24款酷派手機(jī)中發(fā)現(xiàn)了 CoolReaper,這意味著根據(jù)公開的酷派系列的銷售信息,將有超過1千萬的用戶受到影響。
引用:
-- Palo Alto Networks Unit 42 情報(bào)總監(jiān) Ryan Olson
CoolReaper 的背景信息及其影響
CoolReaper 相關(guān)的完整的調(diào)查結(jié)果已刊登在近日出版的《CoolReaper:酷派中的后門程序》的報(bào)告中,該報(bào)告由 Palo Alto Networks 威脅情報(bào)團(tuán)隊(duì) Unit 42 的 Claud Xiao 和 Ryan Olson 撰寫。在該報(bào)告中,Palo Alto Networks 還公布了一份文件列表以核對(duì)那些有可能存在 CoolReaper 后門程序的酷派系列移動(dòng)設(shè)備。
正如研究人員發(fā)現(xiàn)的那樣,CoolReaper 可以執(zhí)行下列任務(wù),其中的任何一項(xiàng)都有可能使企業(yè)和用戶的敏感數(shù)據(jù)面臨風(fēng)險(xiǎn)。此外,惡意攻擊者也有可能利用 CoolReaper 的后端控制系統(tǒng)中的漏洞。
CoolReaper功能:
酷派 (Coolpad) 確認(rèn)情況
Unit 42 威脅情報(bào)團(tuán)隊(duì)開始關(guān)注 CoolReaper 后門程序,源于網(wǎng)絡(luò)留言版上張貼的酷派 (CoolPad) 客戶投訴信息。11月份,烏云網(wǎng) (wooyun.org) 的一位研究人員發(fā)現(xiàn)了用于 CoolReaper 的后端控制系統(tǒng)中存在漏洞,從而查明了酷派系列設(shè)備如何實(shí)現(xiàn)在軟件中控制后門程序。此外,中文新聞網(wǎng)站安全牛 www.aqniu.com 曾在2014年11月20日的一篇文章里對(duì)該后門存在的具體細(xì)節(jié)進(jìn)行了報(bào)道并列出了其濫用情況。
截止到2014年12月17日,酷派 (Coolpad) 并未對(duì) Palo Alto Networks 多次提出的幫助請(qǐng)求予以回復(fù)。Palo Alto Networks 已經(jīng)向谷歌安卓安全小組 (Google Android Security Team) 提供了本報(bào)告中的數(shù)據(jù)。
保護(hù)用戶
CoolReaper 已被 Palo Alto Networks 威脅情報(bào)云的重要組件 WildFire?標(biāo)記為惡意程序。Palo Alto 威脅情報(bào)云可在虛擬環(huán)境中運(yùn)行,能夠從應(yīng)用中甄別威脅并自動(dòng)將其傳送至 Palo Alto Networks GlobalProtect 以確認(rèn)受此影響的設(shè)備。
此外,在 Palo Alto Networks 威脅防護(hù)產(chǎn)品中,所有已知的被 CoolReaper 使用過的命令和控制 (C&C) URL 都被認(rèn)定為惡意,允許用戶即使在命令和控制服務(wù)器或URL變更的情況下,防止數(shù)據(jù)滲漏。
同時(shí),Palo Alto Networks 還提供了命令和控制 (C&C) 的簽名,可對(duì)惡意的 CoolReaper 命令和控制流量進(jìn)行探測(cè)和攔截,即使命令和控制 (C&C) 服務(wù)器改變位置該功能仍然有效。
CoolReaper 后門程序的發(fā)現(xiàn),進(jìn)一步強(qiáng)化了對(duì)全面移動(dòng)安全方案的需求,它將流量檢測(cè)與威脅情報(bào)相結(jié)合,用于檢測(cè)并防范危險(xiǎn)應(yīng)用程序。Palo Alto Networks 的 GlobalProtect 技術(shù)能夠保護(hù)組織機(jī)構(gòu)遠(yuǎn)離高級(jí)網(wǎng)絡(luò)威脅,能夠持續(xù)分析移動(dòng)(數(shù)據(jù))內(nèi)容發(fā)現(xiàn)其中隱藏的或惡意的活動(dòng)。
要了解更多信息: