GTPDOOR मालवेयर

सुरक्षा विश्लेषकहरूले GTPDOOR नामको लिनक्स मालवेयर पहिचान गरेका छन्, जुन स्पष्ट रूपमा GPRS रोमिङ एक्सचेन्ज (GRX) को नजिकैको टेलिकम नेटवर्क भित्र डिप्लोइमेन्टको लागि ईन्जिनियर गरिएको छ। कमाण्ड-एण्ड-कन्ट्रोल (C2) संचारका लागि GPRS टनेलिङ प्रोटोकल (GTP) को यसको अभिनव उपयोगले यो मालवेयरलाई अलग बनाउँछ। GPRS रोमिङले ग्राहकहरूलाई आफ्नो घरको मोबाइल नेटवर्कको कभरेज बाहिर हुँदा तिनीहरूको GPRS सेवाहरू पहुँच गर्न सक्षम बनाउँछ। यो GRX मार्फत सम्भव भएको हो, जसले भ्रमण गरिएको र घर पब्लिक ल्याण्ड मोबाइल नेटवर्क (PLMN) बीच GTP प्रयोग गरेर रोमिङ ट्राफिकको यातायातलाई सहज बनाउँछ।

विज्ञहरूले GTPDOOR ब्याकडोर सम्भावित रूपमा मान्यता प्राप्त खतरा अभिनेता, LightBasin (UNC1945 को रूपमा पनि चिनिन्छ) सँग जोडिएको शंका गर्छन्। यो विशिष्ट साइबर अपराधी समूहलाई ग्राहकको जानकारी र कल मेटाडेटा चोरी गर्ने उद्देश्यले दूरसञ्चार क्षेत्रमा लक्षित आक्रमणको स्ट्रिङसँग जोडिएको छ।

GTPDOOR मालवेयरले साइबर अपराधीहरूलाई अवैध पहुँच प्रदान गर्दछ

कार्यान्वयनमा, GTPDOOR ले यसको प्रक्रियाको नामलाई '[syslog]' मा परिवर्तन गरेर, कर्नेलबाट आह्वान गरिएको syslog को रूपमा मास्करेड गरेर यसको सञ्चालनहरू प्रारम्भ गर्दछ। यसले चाइल्ड सिग्नलहरू दबाउन उपायहरू लिन्छ र कच्चा सकेट खोल्न अगाडि बढ्छ, इम्प्लान्टलाई नेटवर्क इन्टरफेसमा निर्देशित UDP सन्देशहरू रोक्न सक्षम पार्छ।

संक्षेपमा, GTPDOOR ले रोमिङ एक्सचेन्ज नेटवर्कमा एक सम्झौता गरिएको होस्टसँग सञ्चार गर्नको लागि स्थापित दृढताको साथ खतरा अभिनेताको लागि एक अवसर प्रदान गर्दछ। यो संचार हानिकारक पेलोड भएको GTP-C इको अनुरोध सन्देशहरू प्रसारण गरेर प्राप्त गरिन्छ। GTP-C इको अनुरोध सन्देशले संक्रमित मेसिनमा कार्यान्वयन गर्न आदेशहरू पठाउन र रिमोट होस्टमा परिणामहरू रिले गर्न कन्ड्युटको रूपमा कार्य गर्दछ।

कुनै पनि पोर्ट नम्बरमा TCP प्याकेट पठाएर प्रतिक्रिया ट्रिगर गर्दै बाह्य नेटवर्कबाट GTPDOOR सावधानीपूर्वक जाँच गर्न सकिन्छ। यदि इम्प्लान्ट सक्रिय छ भने, यसले गन्तव्य पोर्ट खुला थियो वा होस्टमा उत्तरदायी थियो कि भनेर जानकारी सहित, एउटा शिल्प गरिएको खाली TCP प्याकेट फर्काउँछ।

यो इम्प्लान्ट GRX नेटवर्कमा सिधै जडान भएका सम्झौता गरिएका होस्टहरूमा बस्नको लागि तयार गरिएको देखिन्छ - यी प्रणालीहरू हुन् जसले GRX मार्फत अन्य दूरसंचार अपरेटर नेटवर्कहरूसँग सञ्चार गर्छन्।

GTPDOOR मालवेयर एक पटक सक्रिय भएपछि धेरै धम्कीपूर्ण कार्यहरू गर्दछ

GTPDOOR विभिन्न दुर्भावनापूर्ण गतिविधिहरूमा संलग्न हुन्छ, एक विशेष वेकअप प्याकेटको लागि सुन्न सहित, GTP-C प्रतिध्वनि अनुरोध सन्देश (GTP प्रकार 0x01) को रूपमा चिनिन्छ। उल्लेखनीय रूपमा, होस्टलाई सक्रिय सुन्ने सकेट वा सेवाहरू आवश्यक पर्दैन, किनकि सबै UDP प्याकेटहरू कच्चा सकेट खोलेर प्रयोगकर्ता ठाउँमा प्राप्त हुन्छन्। थप रूपमा, GTPDOOR म्याजिक प्याकेटमा निर्दिष्ट होस्टमा आदेश कार्यान्वयन गर्न, रिमोट होस्टमा आउटपुट फर्काउने र 'रिभर्स शेल' प्रकारको कार्यक्षमतालाई समर्थन गर्न डिजाइन गरिएको हो। दुबै अनुरोध र प्रतिक्रियाहरू क्रमशः GTP_ECHO_REQUEST र GTP_ECHO_RESPONSE सन्देशहरूको रूपमा प्रसारित हुन्छन्।

प्रत्यारोपण सावधानीपूर्वक बाह्य नेटवर्कबाट जाँच गर्न सकिन्छ, कुनै पनि पोर्ट नम्बरमा TCP प्याकेट पठाएर प्रतिक्रिया प्रम्प्ट गर्दै। यदि इम्प्लान्ट सक्रिय छ भने, यसले गन्तव्य पोर्ट खुला थियो वा होस्टमा उत्तरदायी थियो कि भनेर जानकारी प्रदान गर्दै, शिल्प गरिएको खाली TCP प्याकेट फर्काउँछ।

सुरक्षा उपायहरूको लागि, GTPDOOR ले साधारण XOR सिफर प्रयोग गरेर जादुई GTP प्याकेट सन्देशहरूको सामग्री प्रमाणीकरण र इन्क्रिप्ट गर्दछ। रनटाइममा, यसलाई पुन: कुञ्जी मार्फत यसको प्रमाणीकरण र इन्क्रिप्शन कुञ्जी परिवर्तन गर्न निर्देशन दिन सकिन्छ, बाइनरीमा हार्डकोड गरिएको पूर्वनिर्धारित कुञ्जीलाई अन्य खतरा अभिनेताहरूद्वारा प्रयोग हुनबाट रोक्न। वातावरणमा मिसाउनको लागि, GTPDOOR ले कर्नेल थ्रेडको रूपमा बोलाइएको syslog प्रक्रियासँग मिल्दोजुल्दो बनाउन आफ्नो प्रक्रियाको नाम परिवर्तन गर्छ। महत्त्वपूर्ण रूपमा, यदि लक्ष्य होस्टलाई GTP-C पोर्टमा सञ्चार गर्न अनुमति दिइएको छ भने यसले प्रवेश फायरवाल परिवर्तनहरू आवश्यक नगरी सञ्चालन गर्दछ।