隐蔽的 GTPDOOR Linux 恶意软件正将目标锁定移动运营商

Anna艳娜2024-03-04 17:36:08


近日,安全研究人员 HaxRob 发现了一个名为 GTPDOOR 的 Linux 后门,利用该后门能够非法进入移动运营商网络内部。


据信,GTPDOOR 背后的威胁分子会攻击与 GPRS 漫游交换(GRX)相邻的系统,如 SGSN、GGSN 和 P-GW,这些系统可为攻击者提供直接进入电信核心网络的途径。


GRX 是移动电信的一个组件,可促进跨不同地理区域和网络的数据漫游服务。服务 GPRS 支持节点(SGSN)、网关 GPRS 支持节点(GGSN)和 P-GW(4G LTE 的分组数据网络网关)是移动运营商网络基础设施的组成部分,各自在移动通信中发挥不同的作用。


由于 SGSN、GGSN 和 P-GW 网络更容易暴露在公众面前,其 IP 地址范围已在公开文件中列出。研究人员认为它们很可能是获取移动运营商网络初始访问权限的目标。



HaxRob 在文章中解释说,GTPDOOR 很可能是属于 "LightBasin "威胁组织 (UNC1945) 的工具,该组织此前曾收集了全球多家电信公司的情报。

研究人员在 2023 年底发现了上传到 VirusTotal 的两个后门版本,这两个版本基本上都没有被杀毒引擎检测到,这些二进制文件针对的是一个非常老的 Red Hat Linux 版本。




隐秘的 GTPDOOR 行动


GTPDOOR 是一款专为电信网络定制的复杂后门恶意软件,利用 GPRS 隧道协议控制平面(GTP-C)进行隐蔽的指挥和控制(C2)通信。其用于部署在与 GRX 相邻的基于 Linux 的系统中,负责路由和转发与漫游相关的信令和用户平面流量。


为了提高隐蔽性,GTPDOOR 还可以更改进程名称,模仿合法的系统进程。


恶意软件会侦听特定的 GTP-C echo 请求消息("神奇数据包"),唤醒并在主机上执行给定的命令,然后将输出发送回操作员。



恶意数据包结构(doubleagent.net)


魔法 GTP 数据包的内容经过验证,并使用简单的 XOR 密码进行加密,确保只有经过授权的操作员才能控制恶意软件。


GTPDOOR v1 支持在被攻破的主机上执行以下操作:


  • 设置用于 C2 通信的新加密密钥
  • 向名为 "system.conf "的本地文件写入任意数据
  • 执行任意 shell 命令并发回输出结果


GTPDOOR v2 除支持上述操作外,还支持以下操作:


  • 通过访问控制列表(ACL)机制指定允许与被入侵主机通信的 IP 地址或子网
  • 检索 ACL 列表,对后门的网络权限进行动态调整
  • 清除 ACL 以重置恶意软件
  • HaxRob 还强调了恶意软件从外部网络进行隐蔽探测的能力,可通过任何端口传递的 TCP 数据包获得响应



GTPDOOR 攻击概述 (doubleagent.net)


检测和防御


检测策略包括监控原始套接字活动、意外的进程名称和特定的恶意软件指标(如重复的系统日志进程)。


建议的检测步骤如下:


  1. 使用 lsof 检查打开的原始套接字,这表明存在潜在漏洞
  2. 使用 netstat -lp --raw 查找异常监听套接字
  3. 使用异常 PPID 识别模仿内核线程的进程
  4. 搜索 /var/run/daemon.pid,这是 GTPDOOR 使用的一个互斥文件
  5. 查找可能由恶意软件创建的意外 system.conf 文件



异常 PID (doubleagent.net)


同时,还为防御者提供了以下用于检测 GTPDOOR 恶意软件的 YARA 规则。



针对GTPDOOR 恶意软件,研究人员提出了一些防御措施,比如具有严格规则并遵守GSMA安全准则(1,2)的GTP防火墙,能有效阻止或过滤恶意数据包和连接。


参考来源:Stealthy GTPDOOR Linux malware targets mobile operator networks 


软件移动运营商
本作品采用《CC 协议》,转载必须注明作者和本文链接
带有高通芯片的智能手机会秘密向高通发送个人数据。
受害者数量庞大Dark Herring恶意软件是由Zimperium的一个研究小组发现的,他们估计该恶意活动窃取的金额已经过亿,每个受害者每月要多花费15美元。"分析人士指出,Dark Herring背后的攻击集团还建立了470个高质量的应用程序,并且通过了官方应用程序商店的审核。由于Dark Herring获得了明显的成就,Zimperium表示,这个网络犯罪集团可能还会进行再次的攻击。
近三个月前,WannaCry勒索软件关闭了世界各地的医院、电信提供商和许多企业,感染了150多个国家的数十万台计算机,对文件进行加密,然后向受害者收取300至600美元的密钥费用。根据追踪WannaCry赎金支付的Twitter机器人,只有338名受害者支付了300美元的比特币,总计14万美元。虽然大多数受影响的组织现已恢复正常,但世界各地的执法机构仍在追捕中。
Protocol,EAP)统一承载的二次认证通道。无论是3G、4G的AAA认证还是5G的二次认证,虽然都没有对认证算法进行规定,但实际上都默认使用的是特定的国际公开算法。3G和4G的AAA认证虽然信息来自终端和AAA服务器,但认证协议的对等双方却实际上是PGW和AAA服务器,在协议上不是端到端的认证。
Lookout Threat Lab的研究人员发现哈萨克斯坦政府在其境内使用企业级Android监控软件。我们于2022年4月首次检测到来自该活动的样本。根据意大利下议院在2021年发布的一份文件,意大利当局可能在反腐败行动中滥用了这个软件。该文件提到了iOS版本的Hermit,并将RCS Lab和Tykelab与恶意软件联系起来,这证实了我们的分析。
Lookout称,RCS实验室与NSO集团 - 也就是PegASUS间谍软件背后臭名昭著的监控雇佣公司是同一家公司,他们向各国各级政府机构兜售商业间谍软件。Lookout的研究人员认为Hermit已经被哈萨克斯坦政府和意大利当局部署。根据这些发现,Google已经确定了这两个国家的受害者,并表示它将通知受影响的用户。
美国国家安全局和国土安全部的网络安全和基础设施安全局 (CISA) 当地时间10月28日发布了保护5G云基础设施的一系列指导文件中的第一份,关于保护云原生5G网络免受旨在通过拆除云基础设施来破坏信息或拒绝访问的攻击的指南。
CISA于2021年9月发布了一份报告,描述了此漏洞和其他 DOPSoft漏洞。Atlassian表示,该漏洞的CVSS严重性评分为9.9分,可以远程利用来发起代码执行攻击。Atlassian表示,被跟踪为CVE-2022-36804的安全漏洞是在Bitbucket Server and Data Ce
对互联网用户构成了严重的信任威胁
Anna艳娜
暂无描述