近日，安全研究人員 HaxRob 發(fā)現(xiàn)了一個(gè)名為 GTPDOOR 的 Linux 后門(mén)，利用該后門(mén)能夠非法進(jìn)入移動(dòng)運(yùn)營(yíng)商網(wǎng)絡(luò)內(nèi)部。

據(jù)信，GTPDOOR 背后的威脅分子會(huì)攻擊與 GPRS 漫游交換（GRX）相鄰的系統(tǒng)，如 SGSN、GGSN 和 P-GW，這些系統(tǒng)可為攻擊者提供直接進(jìn)入電信核心網(wǎng)絡(luò)的途徑。

GRX 是移動(dòng)電信的一個(gè)組件，可促進(jìn)跨不同地理區(qū)域和網(wǎng)絡(luò)的數(shù)據(jù)漫游服務(wù)。服務(wù) GPRS 支持節(jié)點(diǎn)（SGSN）、網(wǎng)關(guān) GPRS 支持節(jié)點(diǎn)（GGSN）和 P-GW（4G LTE 的分組數(shù)據(jù)網(wǎng)絡(luò)網(wǎng)關(guān)）是移動(dòng)運(yùn)營(yíng)商網(wǎng)絡(luò)基礎(chǔ)設(shè)施的組成部分，各自在移動(dòng)通信中發(fā)揮不同的作用。

由于 SGSN、GGSN 和 P-GW 網(wǎng)絡(luò)更容易暴露在公眾面前，其 IP 地址范圍已在公開(kāi)文件中列出。研究人員認(rèn)為它們很可能是獲取移動(dòng)運(yùn)營(yíng)商網(wǎng)絡(luò)初始訪問(wèn)權(quán)限的目標(biāo)。

HaxRob 在文章中解釋說(shuō)，GTPDOOR 很可能是屬于 "LightBasin "威脅組織 (UNC1945) 的工具，該組織此前曾收集了全球多家電信公司的情報(bào)。

研究人員在 2023 年底發(fā)現(xiàn)了上傳到 VirusTotal 的兩個(gè)后門(mén)版本，這兩個(gè)版本基本上都沒(méi)有被殺毒引擎檢測(cè)到，這些二進(jìn)制文件針對(duì)的是一個(gè)非常老的 Red Hat Linux 版本。

隱秘的 GTPDOOR 行動(dòng)

GTPDOOR 是一款專為電信網(wǎng)絡(luò)定制的復(fù)雜后門(mén)惡意軟件，利用 GPRS 隧道協(xié)議控制平面（GTP-C）進(jìn)行隱蔽的指揮和控制（C2）通信。其用于部署在與 GRX 相鄰的基于 Linux 的系統(tǒng)中，負(fù)責(zé)路由和轉(zhuǎn)發(fā)與漫游相關(guān)的信令和用戶平面流量。

為了提高隱蔽性，GTPDOOR 還可以更改進(jìn)程名稱，模仿合法的系統(tǒng)進(jìn)程。

惡意軟件會(huì)偵聽(tīng)特定的 GTP-C echo 請(qǐng)求消息（"神奇數(shù)據(jù)包"），喚醒并在主機(jī)上執(zhí)行給定的命令，然后將輸出發(fā)送回操作員。

惡意數(shù)據(jù)包結(jié)構(gòu)（doubleagent.net）

魔法 GTP 數(shù)據(jù)包的內(nèi)容經(jīng)過(guò)驗(yàn)證，并使用簡(jiǎn)單的 XOR 密碼進(jìn)行加密，確保只有經(jīng)過(guò)授權(quán)的操作員才能控制惡意軟件。

GTPDOOR v1 支持在被攻破的主機(jī)上執(zhí)行以下操作：

• 設(shè)置用于 C2 通信的新加密密鑰
• 向名為 "system.conf "的本地文件寫(xiě)入任意數(shù)據(jù)
• 執(zhí)行任意 shell 命令并發(fā)回輸出結(jié)果

GTPDOOR v2 除支持上述操作外，還支持以下操作：

• 通過(guò)訪問(wèn)控制列表（ACL）機(jī)制指定允許與被入侵主機(jī)通信的 IP 地址或子網(wǎng)
• 檢索 ACL 列表，對(duì)后門(mén)的網(wǎng)絡(luò)權(quán)限進(jìn)行動(dòng)態(tài)調(diào)整
• 清除 ACL 以重置惡意軟件

HaxRob 還強(qiáng)調(diào)了惡意軟件從外部網(wǎng)絡(luò)進(jìn)行隱蔽探測(cè)的能力，可通過(guò)任何端口傳遞的 TCP 數(shù)據(jù)包獲得響應(yīng)

GTPDOOR 攻擊概述 (doubleagent.net)

檢測(cè)和防御

檢測(cè)策略包括監(jiān)控原始套接字活動(dòng)、意外的進(jìn)程名稱和特定的惡意軟件指標(biāo)（如重復(fù)的系統(tǒng)日志進(jìn)程）。

建議的檢測(cè)步驟如下：

• 使用 lsof 檢查打開(kāi)的原始套接字，這表明存在潛在漏洞
• 使用 netstat -lp --raw 查找異常監(jiān)聽(tīng)套接字
• 使用異常 PPID 識(shí)別模仿內(nèi)核線程的進(jìn)程
• 搜索 /var/run/daemon.pid，這是 GTPDOOR 使用的一個(gè)互斥文件
• 查找可能由惡意軟件創(chuàng)建的意外 system.conf 文件

異常 PID (doubleagent.net)

同時(shí)，還為防御者提供了以下用于檢測(cè) GTPDOOR 惡意軟件的 YARA 規(guī)則。

針對(duì)GTPDOOR 惡意軟件，研究人員提出了一些防御措施，比如具有嚴(yán)格規(guī)則并遵守GSMA安全準(zhǔn)則（1,2）的GTP防火墻，能有效阻止或過(guò)濾惡意數(shù)據(jù)包和連接。