安全研究人员发现了一个专 为移动运营商网 络设计的新 Linux 后门，名为 GTPDOOR。GTPDOOR 背后的威胁分子以 GPRS 漫游交换 (GRX) 附近的系统为目标，例如 SGSN、GGSN 和 P-GW，这些系统可以为攻击者提供对电信核心网络的直接访问。

GRX 是移动电信的一个组件，可促进跨不同地理区域和网络的数据漫游服务。服务 GPRS 支持节点 (SGSN)、网关 GPRS 支持节点 (GGSN) 和 P-GW（分组数据网络网关（用于 4G LTE））是移动运营商网络基础设施内的组件，每个组件在移动通信中发挥不同的作用。

由于SGSN、GGSN和P-GW网络更多地暴露在公众面前，IP地址范围列在公开文件中，研究人员认为它们可能是获得移动运营商网络初始访问权限的目标。

安全研究人员解释说 ，GTPDOOR 很可能是属于“LightBasin”威胁组织 (UNC1945) 的工具，该组织因专注于全球多家电信公司的情报收集而臭名昭著。

研究人员发现了 2023 年底上传到 VirusTotal 的两个版本的后门，这两个版本基本上都没有被防病毒引擎检测到。这些二进制文件针对的是非常旧的 Red Hat Linux 版本，表明目标已经过时。

隐秘的 GTPDOOR 操作

GTPDOOR 是一种专为电信网络量身定制的复杂后门恶意软件，利用 GPRS 隧道协议控制平面 (GTP-C) 进行隐蔽命令和控制 (C2) 通信。它用于部署在与 GRX 相邻的基于 Linux 的系统中，负责路由和转发漫游相关的信令和用户平面流量。

使用 GTP-C 进行通信允许 GTPDOOR 与合法网络流量混合，并利用不受标准安全解决方案监控的已允许端口。为了提高隐蔽性，GTPDOOR 可以更改其进程名称以模仿合法的系统进程。

该恶意软件侦听特定的 GTP-C 回显请求消息（“魔术数据包”）以唤醒并在主机上执行给定的命令，将输出发送回其操作员。

恶意数据包结构

GTP 数据包的内容使用简单的 XOR 密码进行身份验证和加密，确保只有授权的操作员才能控制恶意软件。

GTPDOOR v1 支持在被破坏的主机上执行以下操作：

· 设置用于 C2 通信的新加密密钥

· 将任意数据写入名为“system.conf”的本地文件

· 执行任意shell命令并发送回输出

GTPDOOR v2 支持上述操作以及以下操作：

· 指定允许通过访问控制列表 (ACL) 机制与受感染主机通信的 IP 地址或子网

· 检索ACL列表，对后门的网络权限进行动态调整

· 清除 ACL 以重置恶意软件

安全研究人员还强调了该恶意软件能够从外部网络秘密探测，通过任何端口传递的 TCP 数据包引发响应。

GTPDOOR 攻击概述

检测与防御

检测策略包括监视异常的原始套接字活动、意外的进程名称以及特定的恶意软件指示器（例如重复的系统日志进程）。

推荐的检测步骤如下：

1.使用 lsof 检查打开的原始套接字，表明存在潜在的漏洞。

2.使用 netstat -lp --raw 查找异常的监听套接字。

3.识别具有异常 PPID 的模仿内核线程的进程。

4.搜索 /var/run/daemon.pid，这是 GTPDOOR 使用的互斥文件。