AnasayfagüvenlikYeni CDRThief kötü amaçlı yazılımı, Linux yazılım anahtarlarından VoIP meta verilerini çalıyor

Yeni CDRThief kötü amaçlı yazılımı, Linux yazılım anahtarlarından VoIP meta verilerini çalıyor

Araştırmacılar, bir VoIP sistemini hedefleyen ve arama verileri (CDR) kayıtlarını çalmaya çalışan CDRThief adlı yeni bir tehdit keşfettiler.

Kötü amaçlı yazılım analizi, bunun belirli bir Linux VoIP platformu, yani Linknat VOS2009 / 3000 softswitches (yazılım anahtarları) için özel olarak oluşturulduğunu ortaya çıkardı.

Softswitch, bir ağdaki trafiği (ses / video / metin) yöneten bir VoIP sunucusu olarak çalışan bir yazılımdır. telekomünikasyon. İç ve dış hatlar arasındaki bağlantıyı sağlayan merkezi bir unsurdur.

CDRThief'in amacı, VOS2009 / 3000 yazılımını tehlikeye atmak ve dahili MySQL veritabanlarından arama meta verilerini çalmaktır. Meta veriler, örneğin arayanların IP adresleri, telefon numaraları, aramaların başlangıç ​​zamanı ve süresi, rota ve türdür.

Kötü amaçlı yazılımı analiz eden ESET araştırmacıları, kötü amaçlı yazılımın üstünü örtmeye çalıştığını buldu. işlevselliği şifrelenmiş Düzeltilmiş Blok TEA'yı (XXTEA) kullanarak ve ardından şüpheli bağlantılarda Base64 kodlamasını çalıştırın.

MySQL veritabanına erişim parola korumalı olmasına ve anahtarın dosyada şifrelenmesine rağmen yapılandırma, CDRThief onu okuyabilir ve şifresini çözebilir, bu da onu geliştiren herkesin platformu çok iyi bildiğini gösterir.

CDRT hırsızı

Araştırmacılar, kötü amaçlı yazılım işlevlerinden, CDRThief'in sistem olay günlükleri, VoIP ağ geçitleri hakkında bilgiler ve arama meta verilerini içeren kartlarla ilgilendiğini buldular.

Kötü amaçlı yazılım, bilgileri bir RSA-2 genel anahtarıyla bir parola ile sıkıştırıp şifreledikten sonra, HTTP aracılığıyla JSON kullanarak bir komut ve kontrol (C1024) sunucusuna iletir.

Analiz, CDRThief'in herhangi bir dosya adı kullanılarak diskteki herhangi bir yerden başlatılabileceğini ortaya çıkardı.

Kalıcılığın nasıl elde edildiği net değil, ancak araştırmacılar, yukarıdaki komutun kötü amaçlı yazılımın platformun başlangıç ​​zincirine dahil edilebileceğini gösterdiğini ve bunun yerine "Linknat softswitch bileşeni" olarak gizlendiğini söylüyorlar.

Mevcut analiz gözlemlerine dayanarak, CDRThief, siber casusluk veya VoIP dolandırıcılığı için kullanılabilir.

Teo Ehchttps://www.secnews.gr
Sınırlı sayıda olun.
spot_img

CANLI HABERLER