GTPDOOR 악성코드

보안 분석가들은 GPRS 로밍 교환기(GRX)에 근접한 통신 네트워크 내에 배포되도록 명시적으로 설계된 GTPDOOR라는 Linux 악성 코드를 식별했습니다. 명령 및 제어(C2) 통신을 위한 GPRS 터널링 프로토콜(GTP)의 혁신적인 활용은 이 악성코드를 차별화합니다. GPRS 로밍을 사용하면 가입자는 홈 모바일 네트워크 범위 밖에 있을 때 GPRS 서비스에 액세스할 수 있습니다. 이는 방문 및 홈 PLMN(Public Land Mobile Network) 간에 GTP를 사용하여 로밍 트래픽 전송을 용이하게 하는 GRX를 통해 가능합니다.

전문가들은 GTPDOOR 백도어가 잠재적으로 알려진 위협 행위자인 LightBasin(UNC1945라고도 함)과 연결되어 있다고 의심합니다. 이 특정 사이버 범죄 그룹은 가입자 정보와 통화 메타데이터를 훔칠 목적으로 통신 부문을 겨냥한 일련의 공격과 연관되어 있습니다.

GTPDOOR 악성 코드는 사이버 범죄자에게 불법적인 액세스를 제공합니다

실행 시 GTPDOOR는 프로세스 이름을 커널에서 호출된 syslog로 가장하는 '[syslog]'로 변경하여 작업을 시작합니다. 하위 신호를 억제하기 위한 조치를 취하고 원시 소켓 열기를 진행하여 임플란트가 네트워크 인터페이스로 전달되는 UDP 메시지를 가로챌 수 있도록 합니다.

본질적으로 GTPDOOR는 로밍 교환 네트워크에서 지속성을 확립한 위협 행위자가 손상된 호스트와 통신할 수 있는 수단을 제공합니다. 이 통신은 유해한 페이로드가 포함된 GTP-C 에코 요청 메시지를 전송하여 이루어집니다. GTP-C 에코 요청 메시지는 감염된 시스템에서 실행될 명령을 보내고 그 결과를 원격 호스트로 다시 전달하는 통로 역할을 합니다.

GTPDOOR는 외부 네트워크에서 은밀하게 조사하여 임의의 포트 번호로 TCP 패킷을 보내 응답을 트리거할 수 있습니다. 임플란트가 활성화된 경우 대상 포트가 열려 있는지 또는 호스트에서 응답하는지에 대한 정보와 함께 제작된 빈 TCP 패킷을 반환합니다.

이 임플란트는 GRX 네트워크에 직접 연결된 손상된 호스트에 상주하도록 맞춤화된 것으로 보입니다. 이는 GRX를 통해 다른 통신 사업자 네트워크와 통신하는 시스템입니다.

GTPDOOR 악성 코드는 활성화되면 여러 가지 위협적인 작업을 수행합니다.

GTPDOOR는 GTP-C 에코 요청 메시지(GTP 유형 0x01)로 식별되는 특정 웨이크업 패킷 수신을 포함하여 다양한 악의적인 활동에 참여합니다. 놀랍게도 모든 UDP 패킷은 원시 소켓 열기를 통해 사용자 공간으로 수신되므로 호스트에는 활성 청취 소켓이나 서비스가 필요하지 않습니다. 또한 GTPDOOR는 매직 패킷에 지정된 호스트에서 명령을 실행하여 출력을 원격 호스트로 반환하고 '리버스 쉘' 유형 기능을 지원하도록 설계되었습니다. 요청과 응답은 모두 각각 GTP_ECHO_REQUEST 및 GTP_ECHO_RESPONSE 메시지로 전송됩니다.

임플란트는 외부 네트워크에서 은밀하게 조사하여 임의의 포트 번호로 TCP 패킷을 보내 응답을 요청할 수 있습니다. 임플란트가 활성 상태이면 대상 포트가 열려 있는지 또는 호스트에서 응답하는지에 대한 정보를 제공하는 제작된 빈 TCP 패킷을 반환합니다.

보안 조치를 위해 GTPDOOR는 간단한 XOR 암호를 사용하여 매직 GTP 패킷 메시지의 내용을 인증하고 암호화합니다. 런타임 시 키 재설정을 통해 인증 및 암호화 키를 변경하도록 지시할 수 있으므로 바이너리에 하드코딩된 기본 키가 다른 위협 행위자에 의해 활용되는 것을 방지할 수 있습니다. 환경에 적응하기 위해 GTPDOOR는 커널 스레드로 호출되는 syslog 프로세스와 유사하도록 프로세스 이름을 변경합니다. 중요한 점은 대상 호스트가 GTP-C 포트를 통해 통신하도록 허용된 경우 수신 방화벽 변경 없이 작동한다는 것입니다.