Phần mềm độc hại mới GTPDOOR đánh cắp thông tin thuê bao và dữ liệu cuộc gọi

Thứ năm - 28/03/2024 06:23
Phần mềm độc hại mới trên Linux có tên là GTPDOOR được thiết kế để nhắm mục tiêu vào các mạng viễn thông dựa trên khai thác giao thức đường hầm trên GPRS (GPRS Tunneling Protocol-GTP) để thực thi câu lệnh và điều khiển (C2).
 

Giao thức GPRS Tunneling Protocol (GTP) là một giao thức được sử dụng trong các mạng di động, đặc biệt là trong các mạng di động sử dụng công nghệ GSM (Global System for Mobile Communications) và các tiêu chuẩn liên quan như EDGE (Enhanced Data rates for GSM Evolution) và UMTS (Universal Mobile Telecommunications System). GTP được thiết kế để hỗ trợ việc chuyển tiếp và định tuyến dữ liệu trong mạng di động. GPRS cho phép thuê bao truy cập các dịch vụ GPRS của họ khi chúng ở ngoài phạm vi phủ sóng của mạng di động gia đình. Có hai biến thể chính của GTP là:

GTP-C (GTP Control Plane): Được sử dụng cho việc truyền các thông điệp điều khiển giữa các thiết bị trong mạng di động, chẳng hạn như trao đổi thông tin về tài nguyên mạng, quản lý kết nối và quản lý người dùng.

GTP-U (GTP User Plane): Được sử dụng để truyền dữ liệu người dùng sử dụng trong mạng, chẳng hạn như các gói dữ liệu Internet, email và multimedia.

Khi thực thi, GTPDOOR tự ngụy trang dưới dạng nhật ký hệ thống (syslog) được gọi từ kernel bằng cách thay đổi tên tiến trình của nó. Sau đó, nó thiết lập Raw socket - một loại giao diện lập trình ứng dụng (API) trong hệ điều hành, cho phép ứng dụng truy cập trực tiếp vào lớp mạng của hệ thống mà không thông qua các lớp giao tiếp mạng tiêu chuẩn trên máy bị nhiễm mã độc, cho phép trao đổi các thông điệp UDP (User Datagram Protocol) qua giao diện mạng. Điều này cho phép các tác nhân đe dọa có khả năng tồn tại lâu dài trên mạng để trao đổi các nội dung độc hại bằng cách sử dụng GTP-C.

Các gói tin từ GTP-C đóng vai trò là kênh phát lệnh đến các máy chủ bị xâm nhập và nhận kết quả từ xa. Ngoài ra, các nhà nghiên cứu lưu ý rằng có thể thực hiện kiểm thử xâm nhập thăm dò bên ngoài để tìm ra phản hồi bằng cách gửi một gói tin TCP đến bất kỳ cổng (port) bất kỳ. Nếu phần cài đặt trên GTPDOOR này hoạt động, một gói tin TCP trống được tạo ra cùng với thông tin nếu cổng đích đã mở hoặc phản hồi (open/responding) trên máy chủ.

Về cơ bản, GTPDOOR dường như được xây dựng dành cho các máy chủ bị xâm nhập trong mạng GRX giao tiếp với các mạng của nhà khai thác viễn thông khác thông qua kết nối GRX. Điều này nhấn mạnh tầm quan trọng của các biện pháp bảo mật mạnh mẽ cần được áp dụng để bảo vệ các cơ sở hạ tầng quan trọng này trước các mối đe dọa đang gia tăng như GTPDOOR.

Tác giả bài viết: Trương Đình Dũng

Nguồn tin: antoanthongtin

Tổng số điểm của bài viết là: 0 trong 0 đánh giá

Click để đánh giá bài viết

  Ý kiến bạn đọc

Những tin mới hơn

Những tin cũ hơn

Giới Thiệu

Ủy ban nhân dân tỉnh công bố thủ tục hành chính nội bộ trong tỉnh Sơn La

Công bố kèm theo Quyết định này thủ tục hành chính nội bộ trong hệ thống hành chính nhà nước thuộc phạm vi chức năng quản lý của UBND tỉnh Sơn La bao gồm các lĩnh vực: Lĩnh vực nội vụ: Thủ tục Bổ nhiệm vào ngạch công chức đối với người hoàn thành chế độ tập sự; thủ tục Thẩm...

Thăm dò ý kiến

Bạn biết đến website trung tâm CNTT & Truyền thông qua kênh thông tin nào

Ảnh hoạt động
IMG-7754.jpg IMG-7795.jpg IMG-7801.jpg IMG-7771.jpg 20170719-092244.jpg 20170719-092505.jpg
Liên kết nhanh
Thống kê
  • Đang truy cập14
  • Hôm nay2,652
  • Tháng hiện tại144,424
  • Tổng lượt truy cập9,425,414
Hỗ Trợ Online
Soi Keo Bong Da,
Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây