GTPDOOR 恶意软件

安全分析师发现了一种名为 GTPDOOR 的 Linux 恶意软件，该恶意软件专为部署在靠近 GPRS 漫游交换机 (GRX) 的电信网络中而设计。其创新地利用 GPRS 隧道协议 (GTP) 进行命令与控制 (C2) 通信，使该恶意软件与众不同。 GPRS 漫游使用户能够在其本地移动网络覆盖范围之外访问其 GPRS 服务。这是通过 GRX 实现的，GRX 有助于使用 GTP 在拜访地和归属地公共陆地移动网络 (PLMN) 之间传输漫游流量。

专家怀疑 GTPDOOR 后门可能与公认的威胁参与者 LightBasin（也称为 UNC1945）有关。这个特定的网络犯罪团伙与针对电信部门的一系列攻击有关，其目的是窃取用户信息和呼叫元数据。

GTPDOOR 恶意软件为网络犯罪分子提供非法访问

执行时，GTPDOOR 通过将其进程名称更改为“[syslog]”来启动其操作，伪装成从内核调用的系统日志。它采取措施抑制子信号并继续打开原始套接字，使植入程序能够拦截针对网络接口的 UDP 消息。

从本质上讲，GTPDOOR 为在漫游交换网络上建立持久性的威胁行为者提供了一种与受感染主机进行通信的途径。这种通信是通过传输包含有害负载的 GTP-C Echo Request 消息来实现的。 GTP-C Echo Request 消息充当发送要在受感染计算机上执行的命令并将结果转发回远程主机的管道。

GTPDOOR 可以从外部网络谨慎地探测，通过向任何端口号发送 TCP 数据包来触发响应。如果植入程序处于活动状态，它会返回精心设计的空 TCP 数据包，以及有关目标端口是否在主机上打开或响应的信息。

该植入程序似乎专为驻留在直接连接到 GRX 网络的受感染主机上而设计——这些系统通过 GRX 与其他电信运营商网络进行通信。

GTPDOOR 恶意软件一旦激活就会执行多种威胁操作

GTPDOOR 从事各种恶意活动，包括监听特定的唤醒数据包，识别为 GTP-C 回显请求消息（GTP 类型 0x01）。值得注意的是，主机不需要主动侦听套接字或服务，因为所有 UDP 数据包都是通过打开原始套接字接收到用户空间的。此外，GTPDOOR 设计用于在魔包中指定的主机上执行命令，将输出返回到远程主机并支持“反向 shell”类型功能。请求和响应分别作为 GTP_ECHO_REQUEST 和 GTP_ECHO_RESPONSE 消息传输。

可以从外部网络谨慎地探测植入物，通过向任何端口号发送 TCP 数据包来提示响应。如果植入程序处于活动状态，它会返回精心设计的空 TCP 数据包，提供有关目标端口是否在主机上打开或响应的信息。

为了安全措施，GTPDOOR 使用简单的 XOR 密码对 Magic GTP 数据包消息的内容进行身份验证和加密。在运行时，可以指示它通过重新生成密钥来更改其身份验证和加密密钥，从而防止其他威胁参与者使用硬编码在二进制文件中的默认密钥。为了融入环境，GTPDOOR 更改了其进程名称，以类似于作为内核线程调用的 syslog 进程。重要的是，如果允许目标主机通过 GTP-C 端口进行通信，则无需更改入口防火墙即可运行。