Multi-License Discount Quote
Βάση δεδομένων απειλών Malware Κακόβουλο λογισμικό GTPDOOR

Κακόβουλο λογισμικό GTPDOOR

Μέχρι το Mezo το Malware, Backdoors
Μετάφραση σε:
Ελληνικά

Οι αναλυτές ασφαλείας εντόπισαν ένα κακόβουλο λογισμικό Linux με το όνομα GTPDOOR, το οποίο έχει σχεδιαστεί ρητά για ανάπτυξη σε δίκτυα τηλεπικοινωνιών κοντά σε κέντρα περιαγωγής GPRS (GRX). Η καινοτόμος χρήση του GPRS Tunneling Protocol (GTP) για επικοινωνίες Command-and-Control (C2) ξεχωρίζει αυτό το κακόβουλο λογισμικό. Η περιαγωγή GPRS επιτρέπει στους συνδρομητές να έχουν πρόσβαση στις υπηρεσίες GPRS τους όταν βρίσκονται εκτός της κάλυψης του οικιακού τους δικτύου κινητής τηλεφωνίας. Αυτό γίνεται εφικτό μέσω ενός GRX, το οποίο διευκολύνει τη μεταφορά της κίνησης περιαγωγής με χρήση GTP μεταξύ του επισκεπτόμενου και του οικιακού Δημόσιου Δικτύου Κινητής Γης (PLMN).

Οι ειδικοί υποπτεύονται ότι η κερκόπορτα GTPDOOR είναι δυνητικά συνδεδεμένη με έναν αναγνωρισμένο παράγοντα απειλής, το LightBasin (γνωστό και ως UNC1945). Αυτή η συγκεκριμένη ομάδα εγκληματιών στον κυβερνοχώρο έχει συνδεθεί με μια σειρά επιθέσεων που στοχεύουν στον τομέα των τηλεπικοινωνιών, με στόχο την κλοπή πληροφοριών συνδρομητών και μεταδεδομένων κλήσεων.

Το κακόβουλο λογισμικό GTPDOOR παρέχει παράνομη πρόσβαση σε εγκληματίες του κυβερνοχώρου

Κατά την εκτέλεση, το GTPDOOR εκκινεί τις λειτουργίες του αλλάζοντας το όνομα διεργασίας του σε '[syslog]', μεταμφιεσμένο σε ένα syslog που καλείται από τον πυρήνα. Λαμβάνει μέτρα για την καταστολή των θυγατρικών σημάτων και προχωρά στο άνοιγμα μιας ακατέργαστης υποδοχής, επιτρέποντας στο εμφύτευμα να υποκλέψει μηνύματα UDP που κατευθύνονται στις διεπαφές δικτύου.

Στην ουσία, το GTPDOOR παρέχει μια λεωφόρο για έναν παράγοντα απειλής με καθιερωμένη εμμονή στο δίκτυο ανταλλαγής περιαγωγής να επικοινωνεί με έναν παραβιασμένο κεντρικό υπολογιστή. Αυτή η επικοινωνία επιτυγχάνεται με τη μετάδοση μηνυμάτων GTP-C Echo Request που περιέχουν επιβλαβές ωφέλιμο φορτίο. Το μήνυμα GTP-C Echo Request χρησιμεύει ως αγωγός για την αποστολή εντολών που θα εκτελεστούν στο μολυσμένο μηχάνημα και την αναμετάδοση των αποτελεσμάτων στον απομακρυσμένο κεντρικό υπολογιστή.

Το GTPDOOR μπορεί να διερευνηθεί διακριτικά από ένα εξωτερικό δίκτυο, ενεργοποιώντας μια απόκριση στέλνοντας ένα πακέτο TCP σε οποιονδήποτε αριθμό θύρας. Εάν το εμφύτευμα είναι ενεργό, επιστρέφει ένα δημιουργημένο κενό πακέτο TCP, μαζί με πληροφορίες σχετικά με το εάν η θύρα προορισμού ήταν ανοιχτή ή ανταποκρινόταν στον κεντρικό υπολογιστή.

Αυτό το εμφύτευμα φαίνεται να είναι προσαρμοσμένο για να βρίσκεται σε παραβιασμένους κεντρικούς υπολογιστές που συνδέονται απευθείας στο δίκτυο GRX – πρόκειται για συστήματα που επικοινωνούν με άλλα δίκτυα τηλεπικοινωνιακών φορέων μέσω του GRX.

Το κακόβουλο λογισμικό GTPDOOR εκτελεί αρκετές απειλητικές ενέργειες μόλις ενεργοποιηθεί

Το GTPDOOR εμπλέκεται σε διάφορες κακόβουλες δραστηριότητες, συμπεριλαμβανομένης της ακρόασης ενός συγκεκριμένου πακέτου αφύπνισης, που προσδιορίζεται ως μήνυμα αίτησης ηχούς GTP-C (τύπος GTP 0x01). Είναι αξιοσημείωτο ότι ο κεντρικός υπολογιστής δεν απαιτεί ενεργές υποδοχές ακρόασης ή υπηρεσίες, καθώς όλα τα πακέτα UDP λαμβάνονται στον χώρο χρήστη μέσω του ανοίγματος μιας ακατέργαστης υποδοχής. Επιπλέον, το GTPDOOR έχει σχεδιαστεί για να εκτελεί μια εντολή στον κεντρικό υπολογιστή που καθορίζεται στο μαγικό πακέτο, επιστρέφοντας την έξοδο στον απομακρυσμένο κεντρικό υπολογιστή και υποστηρίζοντας μια λειτουργικότητα τύπου «αντίστροφου κελύφους». Τόσο τα αιτήματα όσο και οι απαντήσεις μεταδίδονται ως μηνύματα GTP_ECHO_REQUEST και GTP_ECHO_RESPONSE, αντίστοιχα.

Το εμφύτευμα μπορεί να ανιχνευθεί διακριτικά από ένα εξωτερικό δίκτυο, προκαλώντας μια απάντηση στέλνοντας ένα πακέτο TCP σε οποιονδήποτε αριθμό θύρας. Εάν το εμφύτευμα είναι ενεργό, επιστρέφει ένα δημιουργημένο κενό πακέτο TCP, παρέχοντας πληροφορίες σχετικά με το εάν η θύρα προορισμού ήταν ανοιχτή ή ανταποκρινόταν στον κεντρικό υπολογιστή.

Για μέτρα ασφαλείας, το GTPDOOR επαληθεύει και κρυπτογραφεί τα περιεχόμενα των μαγικών μηνυμάτων πακέτων GTP χρησιμοποιώντας έναν απλό κρυπτογράφηση XOR. Κατά το χρόνο εκτέλεσης, μπορεί να του δοθεί εντολή να αλλάξει το κλειδί ελέγχου ταυτότητας και κρυπτογράφησης μέσω επαναφοράς κλειδιών, αποτρέποντας τη χρήση του προεπιλεγμένου κλειδιού που είναι κωδικοποιημένο στο δυαδικό από άλλους παράγοντες απειλής. Για να ενσωματωθεί στο περιβάλλον, το GTPDOOR αλλάζει το όνομα διεργασίας του ώστε να μοιάζει με μια διεργασία καταγραφής συστήματος που καλείται ως νήμα πυρήνα. Είναι σημαντικό ότι λειτουργεί χωρίς να απαιτεί αλλαγές στο τείχος προστασίας εισόδου, εάν ο κεντρικός υπολογιστής-στόχος επιτρέπεται να επικοινωνεί μέσω της θύρας GTP-C.

Τάσεις

Περισσότερες εμφανίσεις

Απάτη ηλεκτρονικού ταχυδρομείου «Geek Squad».

Phishing, Spam
35,698
Το Geek Squad, ένας δημοφιλής πάροχος τεχνικής υποστήριξης, έχει πέσει θύμα μιας απάτης ηλεκτρονικού ψαρέματος που ονομάζεται Geek Squad Email Scam. Αυτή η απάτη τεχνικής υποστήριξης χρησιμοποιεί πλαστά μηνύματα ηλεκτρονικού ταχυδρομείου που εξαπατούν τους ανθρώπους να δώσουν τα προσωπικά τους στοιχεία, όπως στοιχεία πιστωτικών καρτών, διευθύνσεις email, ακόμη και αριθμούς κοινωνικής ασφάλισης....
Φόρτωση...