自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

隱蔽的 GTPDOOR Linux 惡意軟件正將目標(biāo)鎖定移動運(yùn)營商

作者:小薯?xiàng)l
安全
針對GTPDOOR 惡意軟件,研究人員提出了一些防御措施,比如具有嚴(yán)格規(guī)則并遵守GSMA安全準(zhǔn)則(1,2)的GTP防火墻,能有效阻止或過濾惡意數(shù)據(jù)包和連接。

近日,安全研究人員 HaxRob 發(fā)現(xiàn)了一個(gè)名為 GTPDOOR 的 Linux 后門,利用該后門能夠非法進(jìn)入移動運(yùn)營商網(wǎng)絡(luò)內(nèi)部。

據(jù)信,GTPDOOR 背后的威脅分子會攻擊與 GPRS 漫游交換(GRX)相鄰的系統(tǒng),如 SGSN、GGSN 和 P-GW,這些系統(tǒng)可為攻擊者提供直接進(jìn)入電信核心網(wǎng)絡(luò)的途徑。

GRX 是移動電信的一個(gè)組件,可促進(jìn)跨不同地理區(qū)域和網(wǎng)絡(luò)的數(shù)據(jù)漫游服務(wù)。服務(wù) GPRS 支持節(jié)點(diǎn)(SGSN)、網(wǎng)關(guān) GPRS 支持節(jié)點(diǎn)(GGSN)和 P-GW(4G LTE 的分組數(shù)據(jù)網(wǎng)絡(luò)網(wǎng)關(guān))是移動運(yùn)營商網(wǎng)絡(luò)基礎(chǔ)設(shè)施的組成部分,各自在移動通信中發(fā)揮不同的作用。

由于 SGSN、GGSN 和 P-GW 網(wǎng)絡(luò)更容易暴露在公眾面前,其 IP 地址范圍已在公開文件中列出。研究人員認(rèn)為它們很可能是獲取移動運(yùn)營商網(wǎng)絡(luò)初始訪問權(quán)限的目標(biāo)。

HaxRob 在文章中解釋說,GTPDOOR 很可能是屬于 "LightBasin "威脅組織 (UNC1945) 的工具,該組織此前曾收集了全球多家電信公司的情報(bào)。

研究人員在 2023 年底發(fā)現(xiàn)了上傳到 VirusTotal 的兩個(gè)后門版本,這兩個(gè)版本基本上都沒有被殺毒引擎檢測到,這些二進(jìn)制文件針對的是一個(gè)非常老的 Red Hat Linux 版本。

隱秘的 GTPDOOR 行動

GTPDOOR 是一款專為電信網(wǎng)絡(luò)定制的復(fù)雜后門惡意軟件,利用 GPRS 隧道協(xié)議控制平面(GTP-C)進(jìn)行隱蔽的指揮和控制(C2)通信。其用于部署在與 GRX 相鄰的基于 Linux 的系統(tǒng)中,負(fù)責(zé)路由和轉(zhuǎn)發(fā)與漫游相關(guān)的信令和用戶平面流量。

為了提高隱蔽性,GTPDOOR 還可以更改進(jìn)程名稱,模仿合法的系統(tǒng)進(jìn)程。

惡意軟件會偵聽特定的 GTP-C echo 請求消息("神奇數(shù)據(jù)包"),喚醒并在主機(jī)上執(zhí)行給定的命令,然后將輸出發(fā)送回操作員。

惡意數(shù)據(jù)包結(jié)構(gòu)(doubleagent.net)

魔法 GTP 數(shù)據(jù)包的內(nèi)容經(jīng)過驗(yàn)證,并使用簡單的 XOR 密碼進(jìn)行加密,確保只有經(jīng)過授權(quán)的操作員才能控制惡意軟件。

GTPDOOR v1 支持在被攻破的主機(jī)上執(zhí)行以下操作:

  • 設(shè)置用于 C2 通信的新加密密鑰
  • 向名為 "system.conf "的本地文件寫入任意數(shù)據(jù)
  • 執(zhí)行任意 shell 命令并發(fā)回輸出結(jié)果

GTPDOOR v2 除支持上述操作外,還支持以下操作:

  • 通過訪問控制列表(ACL)機(jī)制指定允許與被入侵主機(jī)通信的 IP 地址或子網(wǎng)
  • 檢索 ACL 列表,對后門的網(wǎng)絡(luò)權(quán)限進(jìn)行動態(tài)調(diào)整
  • 清除 ACL 以重置惡意軟件

HaxRob 還強(qiáng)調(diào)了惡意軟件從外部網(wǎng)絡(luò)進(jìn)行隱蔽探測的能力,可通過任何端口傳遞的 TCP 數(shù)據(jù)包獲得響應(yīng)

GTPDOOR 攻擊概述 (doubleagent.net)

檢測和防御

檢測策略包括監(jiān)控原始套接字活動、意外的進(jìn)程名稱和特定的惡意軟件指標(biāo)(如重復(fù)的系統(tǒng)日志進(jìn)程)。

建議的檢測步驟如下:

  • 使用 lsof 檢查打開的原始套接字,這表明存在潛在漏洞
  • 使用 netstat -lp --raw 查找異常監(jiān)聽套接字
  • 使用異常 PPID 識別模仿內(nèi)核線程的進(jìn)程
  • 搜索 /var/run/daemon.pid,這是 GTPDOOR 使用的一個(gè)互斥文件
  • 查找可能由惡意軟件創(chuàng)建的意外 system.conf 文件

異常 PID (doubleagent.net)

同時(shí),還為防御者提供了以下用于檢測 GTPDOOR 惡意軟件的 YARA 規(guī)則。

針對GTPDOOR 惡意軟件,研究人員提出了一些防御措施,比如具有嚴(yán)格規(guī)則并遵守GSMA安全準(zhǔn)則(1,2)的GTP防火墻,能有效阻止或過濾惡意數(shù)據(jù)包和連接。

責(zé)任編輯:趙寧寧 來源: FreeBuf.COM
惡意軟件網(wǎng)絡(luò)攻擊
相關(guān)推薦

2022-07-18 23:44:32

安全漏洞信息安全

2021-10-06 14:20:44

惡意軟件黑客網(wǎng)絡(luò)攻擊

2011-08-30 09:29:45

云計(jì)算移動醫(yī)療

2014-08-11 15:57:56

BlackHat黑帽大會移動設(shè)備安全

2014-02-19 14:44:03

TracFone

2009-06-20 18:29:57

Linux

2013-06-05 14:27:45

Radware數(shù)據(jù)通信云計(jì)算

2011-03-24 11:10:21

Facebook社交網(wǎng)絡(luò)運(yùn)營商

2018-10-08 13:41:01

運(yùn)營商通信網(wǎng)絡(luò)攜號轉(zhuǎn)網(wǎng)

2017-08-23 15:30:42

虛擬化網(wǎng)絡(luò)運(yùn)營商

2020-11-25 10:22:32

網(wǎng)絡(luò)安全病毒工具

2012-02-03 10:08:40

運(yùn)營商移動互聯(lián)網(wǎng)

2014-02-19 09:57:14

虛擬運(yùn)營商

2013-06-06 15:16:28

2014-02-11 09:45:12

運(yùn)營商移動回程SDN

2009-03-24 08:54:59

Opera運(yùn)營商瀏覽器

2013-07-31 15:30:27

歐朋

2013-07-01 10:38:53

移動互聯(lián)網(wǎng)

2012-04-05 13:42:02

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號