GTPDOOR மால்வேர்

பாதுகாப்பு ஆய்வாளர்கள் GTPDOOR என்ற லினக்ஸ் தீம்பொருளை அடையாளம் கண்டுள்ளனர், இது GPRS ரோமிங் எக்ஸ்சேஞ்ச்களுக்கு (GRX) அருகிலுள்ள தொலைத்தொடர்பு நெட்வொர்க்குகளுக்குள் வரிசைப்படுத்துவதற்காக வெளிப்படையாக வடிவமைக்கப்பட்டுள்ளது. கட்டளை மற்றும் கட்டுப்பாடு (C2) தகவல்தொடர்புகளுக்கான GPRS டன்னலிங் புரோட்டோகால் (GTP) இன் புதுமையான பயன்பாடு இந்த தீம்பொருளை வேறுபடுத்துகிறது. ஜிபிஆர்எஸ் ரோமிங் சந்தாதாரர்கள் தங்கள் வீட்டு மொபைல் நெட்வொர்க்கிற்கு வெளியே இருக்கும் போது அவர்களின் ஜிபிஆர்எஸ் சேவைகளை அணுக உதவுகிறது. ஜிஆர்எக்ஸ் மூலம் இது சாத்தியமாகிறது, இது ஜிடிபியைப் பயன்படுத்தி ரோமிங் போக்குவரத்தின் போக்குவரத்தை பார்வையிட்ட மற்றும் வீட்டில் உள்ள பொது நில மொபைல் நெட்வொர்க்கிற்கு (பிஎல்எம்என்) இடையே எளிதாக்குகிறது.

GTPDOOR பின்கதவு அங்கீகரிக்கப்பட்ட அச்சுறுத்தல் நடிகரான LightBasin (UNC1945 என்றும் அழைக்கப்படுகிறது) உடன் இணைக்கப்பட்டிருக்கலாம் என்று நிபுணர்கள் சந்தேகிக்கின்றனர். இந்த குறிப்பிட்ட சைபர் கிரைமினல் குழு, சந்தாதாரர் தகவல் மற்றும் அழைப்பு மெட்டாடேட்டாவைத் திருடுவதை நோக்கமாகக் கொண்டு, தொலைத்தொடர்புத் துறையை இலக்காகக் கொண்ட தாக்குதல்களின் சரத்துடன் இணைக்கப்பட்டுள்ளது.

GTPDOOR மால்வேர் சைபர் கிரைமினல்களுக்கு சட்டவிரோத அணுகலை வழங்குகிறது

செயல்படுத்தப்பட்டவுடன், GTPDOOR அதன் செயல்பாட்டின் பெயரை '[syslog]' என மாற்றுவதன் மூலம் அதன் செயல்பாடுகளைத் தொடங்குகிறது, இது கர்னலில் இருந்து செயல்படுத்தப்பட்ட syslog என மாறுவேடமிடுகிறது. இது குழந்தை சிக்னல்களை அடக்குவதற்கு நடவடிக்கை எடுக்கிறது மற்றும் மூல சாக்கெட்டைத் திறக்கிறது, பிணைய இடைமுகங்களில் இயக்கப்படும் UDP செய்திகளை இடைமறிக்க உள்வைப்பை செயல்படுத்துகிறது.

சாராம்சத்தில், GTPDOOR ஒரு அச்சுறுத்தல் நடிகருக்கு ரோமிங் எக்ஸ்சேஞ்ச் நெட்வொர்க்கில் உறுதியான நிலைத்தன்மையுடன் சமரசம் செய்யப்பட்ட ஹோஸ்டுடன் தொடர்பு கொள்ள ஒரு வழியை வழங்குகிறது. தீங்கு விளைவிக்கும் பேலோடைக் கொண்ட GTP-C எக்கோ கோரிக்கை செய்திகளை அனுப்புவதன் மூலம் இந்தத் தகவல்தொடர்பு அடையப்படுகிறது. GTP-C Echo Request செய்தியானது, பாதிக்கப்பட்ட கணினியில் செயல்படுத்தப்பட வேண்டிய கட்டளைகளை அனுப்புவதற்கும், ரிமோட் ஹோஸ்டுக்கு முடிவுகளை அனுப்புவதற்கும் ஒரு வழியாகச் செயல்படுகிறது.

GTPDOOR ஐ வெளிப்புற நெட்வொர்க்கிலிருந்து புத்திசாலித்தனமாக ஆய்வு செய்யலாம், எந்த போர்ட் எண்ணிற்கும் TCP பாக்கெட்டை அனுப்புவதன் மூலம் பதிலைத் தூண்டும். உள்வைப்பு செயலில் இருந்தால், டெஸ்டினேஷன் போர்ட் திறந்திருந்ததா அல்லது ஹோஸ்டில் பதிலளிக்கிறதா என்பது பற்றிய தகவலுடன், வடிவமைக்கப்பட்ட வெற்று TCP பாக்கெட்டையும் அது வழங்கும்.

இந்த உள்வைப்பு GRX நெட்வொர்க்குடன் நேரடியாக இணைக்கப்பட்ட சமரசம் செய்யப்பட்ட ஹோஸ்ட்களில் தங்குவதற்கு ஏற்றதாகத் தோன்றுகிறது - இவை GRX வழியாக மற்ற தொலைத்தொடர்பு ஆபரேட்டர் நெட்வொர்க்குகளுடன் தொடர்பு கொள்ளும் அமைப்புகள்.

GTPDOOR மால்வேர் செயல்படுத்தப்பட்டவுடன் பல அச்சுறுத்தும் செயல்களைச் செய்கிறது

GTPDOOR ஆனது GTP-C எதிரொலி கோரிக்கை செய்தியாக (GTP வகை 0x01) அடையாளம் காணப்பட்ட ஒரு குறிப்பிட்ட வேக்கப் பாக்கெட்டைக் கேட்பது உட்பட பல்வேறு தீங்கிழைக்கும் செயல்களில் ஈடுபடுகிறது. குறிப்பிடத்தக்க வகையில், ஹோஸ்ட் செயலில் கேட்கும் சாக்கெட்டுகள் அல்லது சேவைகள் தேவையில்லை, ஏனெனில் அனைத்து UDP பாக்கெட்டுகளும் ஒரு மூல சாக்கெட் திறப்பதன் மூலம் பயனர் இடத்தில் பெறப்படுகின்றன. கூடுதலாக, GTPDOOR ஆனது மேஜிக் பாக்கெட்டில் குறிப்பிடப்பட்டுள்ள ஹோஸ்டில் ஒரு கட்டளையை இயக்க வடிவமைக்கப்பட்டுள்ளது, ரிமோட் ஹோஸ்டுக்கு வெளியீட்டை திருப்பி 'ரிவர்ஸ் ஷெல்' வகை செயல்பாட்டை ஆதரிக்கிறது. கோரிக்கைகள் மற்றும் பதில்கள் இரண்டும் முறையே GTP_ECHO_REQUEST மற்றும் GTP_ECHO_RESPONSE செய்திகளாக அனுப்பப்படுகின்றன.

உள்வைப்பு ஒரு வெளிப்புற நெட்வொர்க்கில் இருந்து புத்திசாலித்தனமாக ஆய்வு செய்யப்படலாம், எந்தவொரு போர்ட் எண்ணிற்கும் TCP பாக்கெட்டை அனுப்புவதன் மூலம் பதிலைத் தூண்டும். உள்வைப்பு செயலில் இருந்தால், டெஸ்டினேஷன் போர்ட் திறந்திருந்ததா அல்லது ஹோஸ்டில் பதிலளிக்கிறதா என்பதைப் பற்றிய தகவலை வழங்கும், வடிவமைக்கப்பட்ட வெற்று TCP பாக்கெட்டை அது வழங்குகிறது.

பாதுகாப்பு நடவடிக்கைகளுக்கு, GTPDOOR ஒரு எளிய XOR மறைக்குறியீட்டைப் பயன்படுத்தி மேஜிக் GTP பாக்கெட் செய்திகளின் உள்ளடக்கங்களை அங்கீகரித்து குறியாக்குகிறது. இயக்க நேரத்தில், அதன் அங்கீகரிப்பு மற்றும் குறியாக்க விசையை ரீகீயிங் மூலம் மாற்றுமாறு அறிவுறுத்தலாம், பைனரியில் ஹார்ட்கோட் செய்யப்பட்ட இயல்புநிலை விசையை மற்ற அச்சுறுத்தல் நடிகர்கள் பயன்படுத்துவதைத் தடுக்கிறது. சுற்றுச்சூழலுடன் கலக்க, GTPDOOR ஆனது அதன் செயல்முறைப் பெயரை கர்னல் நூலாகப் பயன்படுத்தப்படும் syslog செயல்முறையை ஒத்ததாக மாற்றுகிறது. முக்கியமாக, இலக்கு ஹோஸ்ட் GTP-C போர்ட் மூலம் தொடர்பு கொள்ள அனுமதிக்கப்பட்டால், நுழைவு ஃபயர்வால் மாற்றங்கள் தேவையில்லாமல் செயல்படுகிறது.