GTPDOOR 惡意軟體

安全分析師發現了一種名為 GTPDOOR 的 Linux 惡意軟體，該惡意軟體專為部署在靠近 GPRS 漫遊交換器 (GRX) 的電信網路中而設計。其創新地利用 GPRS 隧道協定 (GTP) 進行命令與控制 (C2) 通信，使該惡意軟體與眾不同。 GPRS 漫遊使用戶能夠在其本地行動網路覆蓋範圍之外存取其 GPRS 服務。這是透過 GRX 實現的，GRX 有助於使用 GTP 在拜訪地和歸屬地公共陸地行動網路 (PLMN) 之間傳輸漫遊流量。

專家懷疑 GTPDOOR 後門可能與公認的威脅參與者 LightBasin（也稱為 UNC1945）有關。這個特定的網路犯罪集團與針對電信部門的一系列攻擊有關，其目的是竊取用戶資訊和呼叫元資料。

GTPDOOR 惡意軟體為網路犯罪分子提供非法訪問

執行時，GTPDOOR 透過將其進程名稱變更為「[syslog]」來啟動其操作，偽裝成從核心呼叫的系統日誌。它採取措施抑制子訊號並繼續打開原始套接字，使植入程式能夠攔截針對網路介面的 UDP 訊息。

從本質上講，GTPDOOR 為在漫遊交換網路上建立持久性的威脅行為者提供了一種與受感染主機進行通訊的途徑。這種通訊是透過傳輸包含有害負載的 GTP-C Echo Request 訊息來實現的。 GTP-C Echo Request 訊息可作為傳送要在受感染電腦上執行的命令並將結果轉送回遠端主機的管道。

GTPDOOR 可以從外部網路謹慎地探測，透過傳送 TCP 封包給任何連接埠號碼來觸發回應。如果植入程式處於活動狀態，它會傳回精心設計的空 TCP 封包，以及有關目標連接埠是否在主機上開啟或回應的資訊。

該植入程序似乎專為駐留在直接連接到 GRX 網路的受感染主機上而設計——這些系統透過 GRX 與其他電信營運商網路進行通訊。

GTPDOOR 惡意軟體一旦啟動就會執行多種威脅操作

GTPDOOR 從事各種惡意活動，包括監聽特定的喚醒資料包，識別為 GTP-C 回顯請求訊息（GTP 類型 0x01）。值得注意的是，主機不需要主動偵聽套接字或服務，因為所有 UDP 封包都是透過開啟原始套接字接收到使用者空間的。此外，GTPDOOR 設計用於在魔包中指定的主機上執行命令，將輸出返回遠端主機並支援「反向 shell」類型功能。請求和回應分別以 GTP_ECHO_REQUEST 和 GTP_ECHO_RESPONSE 訊息傳輸。

可以從外部網路謹慎地探測植入物，透過向任何連接埠號碼發送 TCP 封包來提示回應。如果植入程式處於活動狀態，它會傳回精心設計的空 TCP 封包，提供有關目標連接埠是否在主機上開啟或回應的資訊。

為了安全措施，GTPDOOR 使用簡單的 XOR 密碼對 Magic GTP 封包訊息的內容進行身份驗證和加密。在運行時，可以指示它透過重新產生金鑰來更改其身份驗證和加密金鑰，從而防止其他威脅參與者使用硬編碼在二進位檔案中的預設金鑰。為了融入環境，GTPDOOR 更改了其進程名稱，以類似於作為核心執行緒呼叫的 syslog 進程。重要的是，如果允許目標主機透過 GTP-C 連接埠進行通信，則無需更改入口防火牆即可運作。