មេរោគ GTPDOOR
អ្នកវិភាគសុវត្ថិភាពបានកំណត់អត្តសញ្ញាណមេរោគ Linux ដែលមានឈ្មោះថា GTPDOOR ដែលត្រូវបានរចនាយ៉ាងច្បាស់លាស់សម្រាប់ការដាក់ពង្រាយក្នុងបណ្តាញទូរគមនាគមន៍ដែលនៅជិតនឹង GPRS រ៉ូមីងផ្លាស់ប្តូរ (GRX)។ ការប្រើប្រាស់ប្រកបដោយភាពច្នៃប្រឌិតរបស់វានៃពិធីការផ្លូវរូងក្រោមដី GPRS (GTP) សម្រាប់ទំនាក់ទំនង Command-and-Control (C2) កំណត់មេរោគនេះដាច់ដោយឡែក។ GPRS រ៉ូមីងអាចឱ្យអតិថិជនចូលប្រើសេវាកម្ម GPRS របស់ពួកគេនៅពេលដែលនៅខាងក្រៅការគ្របដណ្តប់នៃបណ្តាញទូរស័ព្ទចល័តនៅផ្ទះរបស់ពួកគេ។ នេះអាចធ្វើទៅបានតាមរយៈ GRX ដែលជួយសម្រួលដល់ការដឹកជញ្ជូនចរាចរណ៍រ៉ូមីងដោយប្រើ GTP រវាងបណ្តាញទូរស័ព្ទចល័តដីសាធារណៈ (PLMN) ដែលបានទៅផ្ទះ និងផ្ទះ។
អ្នកជំនាញសង្ស័យថា GTPDOOR backdoor មានសក្តានុពលភ្ជាប់ទៅនឹងតួអង្គគំរាមកំហែងដែលត្រូវបានទទួលស្គាល់គឺ LightBasin (ហៅម្យ៉ាងទៀតថា UNC1945)។ ក្រុមឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតជាក់លាក់នេះត្រូវបានភ្ជាប់ទៅនឹងខ្សែនៃការវាយប្រហារដែលសំដៅលើវិស័យទូរគមនាគមន៍ ដោយមានគោលបំណងលួចយកព័ត៌មានអតិថិជន និងការហៅទិន្នន័យមេតា។
មេរោគ GTPDOOR ផ្តល់នូវការចូលប្រើខុសច្បាប់ចំពោះឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត
នៅពេលប្រតិបត្តិ GTPDOOR ចាប់ផ្តើមប្រតិបត្តិការរបស់ខ្លួនដោយផ្លាស់ប្តូរឈ្មោះដំណើរការរបស់វាទៅជា '[syslog]' ដោយក្លែងបន្លំជា syslog ដែលហៅចេញពីខឺណែល។ វាត្រូវការវិធានការដើម្បីទប់ស្កាត់សញ្ញាកុមារ និងដំណើរការដើម្បីបើករន្ធឆៅ ដែលអនុញ្ញាតឱ្យឧបករណ៍ផ្សាំដើម្បីស្ទាក់ចាប់សារ UDP ដែលតម្រង់ទៅចំណុចប្រទាក់បណ្តាញ។
ជារួម GTPDOOR ផ្តល់នូវផ្លូវមួយសម្រាប់តួអង្គគម្រាមកំហែង ជាមួយនឹងការតស៊ូដែលបានបង្កើតឡើងនៅលើបណ្តាញប្តូរប្រាក់រ៉ូមីង ដើម្បីទំនាក់ទំនងជាមួយម៉ាស៊ីនដែលសម្របសម្រួល។ ការទំនាក់ទំនងនេះត្រូវបានសម្រេចដោយការបញ្ជូនសារសំណើ GTP-C Echo ដែលមានផ្ទុកបន្ទុកគ្រោះថ្នាក់។ សារសំណើ GTP-C Echo បម្រើជាបំពង់បញ្ជូនពាក្យបញ្ជាដែលត្រូវប្រតិបត្តិលើម៉ាស៊ីនដែលមានមេរោគ ហើយបញ្ជូនលទ្ធផលត្រឡប់ទៅម៉ាស៊ីនពីចម្ងាយវិញ។
GTPDOOR អាចត្រូវបានស៊ើបអង្កេតដោយមិនប្រុងប្រយ័ត្នពីបណ្តាញខាងក្រៅ ដោយបង្កឱ្យមានការឆ្លើយតបដោយការផ្ញើកញ្ចប់ TCP ទៅលេខច្រកណាមួយ។ ប្រសិនបើការផ្សាំគឺសកម្ម វានឹងត្រឡប់កញ្ចប់ TCP ទទេដែលបានបង្កើត រួមជាមួយនឹងព័ត៌មានអំពីថាតើច្រកគោលដៅត្រូវបានបើក ឬឆ្លើយតបនៅលើម៉ាស៊ីន។
ការផ្សាំនេះហាក់ដូចជាត្រូវបានកែសម្រួលដើម្បីស្នាក់នៅលើម៉ាស៊ីនដែលត្រូវបានសម្របសម្រួលដែលភ្ជាប់ដោយផ្ទាល់ទៅបណ្តាញ GRX – ទាំងនេះគឺជាប្រព័ន្ធដែលទំនាក់ទំនងជាមួយបណ្តាញប្រតិបត្តិករទូរគមនាគមន៍ផ្សេងទៀតតាមរយៈ GRX ។
មេរោគ GTPDOOR អនុវត្តសកម្មភាពគំរាមកំហែងជាច្រើននៅពេលត្រូវបានធ្វើឱ្យសកម្ម
GTPDOOR ចូលរួមក្នុងសកម្មភាពព្យាបាទផ្សេងៗ រួមទាំងការស្តាប់កញ្ចប់ព័ត៌មានភ្ញាក់ដឹងខ្លួនជាក់លាក់មួយ ដែលត្រូវបានកំណត់ថាជាសារស្នើសុំអេកូ GTP-C (ប្រភេទ GTP 0x01)។ គួរកត់សម្គាល់ថា ម៉ាស៊ីនមិនចាំបាច់ត្រូវការរន្ធស្តាប់សកម្ម ឬសេវាកម្មទេ ព្រោះកញ្ចប់ UDP ទាំងអស់ត្រូវបានទទួលទៅក្នុងចន្លោះអ្នកប្រើប្រាស់តាមរយៈការបើករន្ធឆៅ។ លើសពីនេះទៀត GTPDOOR ត្រូវបានរចនាឡើងដើម្បីប្រតិបត្តិពាក្យបញ្ជានៅលើម៉ាស៊ីនដែលបានបញ្ជាក់នៅក្នុងកញ្ចប់វេទមន្ត ត្រឡប់លទ្ធផលទៅម៉ាស៊ីនពីចម្ងាយ និងគាំទ្រមុខងារប្រភេទ 'សែលបញ្ច្រាស' ។ សំណើ និងការឆ្លើយតបទាំងពីរត្រូវបានបញ្ជូនជាសារ GTP_ECHO_REQUEST និង GTP_ECHO_RESPONSE រៀងគ្នា។
ការផ្សាំអាចត្រូវបានស៊ើបអង្កេតដោយប្រយ័ត្នប្រយែងពីបណ្តាញខាងក្រៅ ដោយជំរុញឱ្យមានការឆ្លើយតបដោយការផ្ញើកញ្ចប់ព័ត៌មាន TCP ទៅកាន់លេខច្រកណាមួយ។ ប្រសិនបើការផ្សាំគឺសកម្ម វាត្រឡប់កញ្ចប់ TCP ទទេដែលបានបង្កើតដោយផ្តល់ព័ត៌មានថាតើច្រកគោលដៅត្រូវបានបើក ឬឆ្លើយតបនៅលើម៉ាស៊ីន។
សម្រាប់វិធានការសុវត្ថិភាព GTPDOOR ផ្ទៀងផ្ទាត់ និងអ៊ិនគ្រីបខ្លឹមសារនៃសារកញ្ចប់ព័ត៌មាន GTP វេទមន្ត ដោយប្រើលេខកូដ XOR សាមញ្ញ។ នៅពេលដំណើរការ វាអាចត្រូវបានណែនាំឱ្យផ្លាស់ប្តូរការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ និងការអ៊ិនគ្រីបសោរបស់វាតាមរយៈការចុចឡើងវិញ ការពារសោលំនាំដើមដែលសរសេរកូដរឹងនៅក្នុងប្រព័ន្ធគោលពីរពីការប្រើប្រាស់ដោយអ្នកគំរាមកំហែងផ្សេងទៀត។ ដើម្បីបញ្ចូលគ្នាទៅក្នុងបរិស្ថាន GTPDOOR ផ្លាស់ប្តូរឈ្មោះដំណើរការរបស់វាឱ្យស្រដៀងនឹងដំណើរការ syslog ដែលហៅជាខ្សែអក្សរខឺណែល។ សំខាន់ វាដំណើរការដោយមិនចាំបាច់មានការផ្លាស់ប្តូរជញ្ជាំងភ្លើងចូល ប្រសិនបើម៉ាស៊ីនគោលដៅត្រូវបានអនុញ្ញាតឱ្យទំនាក់ទំនងតាមច្រក GTP-C ។
