CDRThief يستهدف لينكس سوفت سويتش

مدير عام11 سبتمبر 2020آخر تحديث :
CDRThief يستهدف لينكس سوفت سويتش

اكتشف باحثو ESET وقاموا بتحليل البرامج الضارة التي تستهدف مفاتيح تحويل الصوت عبر IP (VoIP).

تم تصميم هذه البرامج الضارة الجديدة التي اكتشفناها وأطلقنا عليها اسم CDRThief لاستهداف منصة VoIP محددة للغاية ، يستخدمها محولات برمجية منتجة في الصين (محولات برمجية): Linknat VOS2009 و VOS3000. سوفت سويتش هو عنصر أساسي في شبكة VoIP التي توفر التحكم في المكالمات والفواتير والإدارة. هذه المحولات هي حلول قائمة على البرامج تعمل على خوادم Linux القياسية.

الهدف الأساسي للبرنامج الضار هو سرقة البيانات الخاصة المختلفة من نظام سوفت سويتش المخترق ، بما في ذلك سجلات تفاصيل المكالمات (CDR). تحتوي سجلات CDR على بيانات وصفية حول مكالمات VoIP مثل عناوين IP للمتصل والمستدعى ، ووقت بدء المكالمة ، ومدة المكالمة ، ورسوم الاتصال ، وما إلى ذلك.

لسرقة هذه البيانات الوصفية ، تستعلم البرامج الضارة عن قواعد بيانات MySQL الداخلية التي يستخدمها برنامج softswitch. وبالتالي ، يُظهر المهاجمون فهماً جيداً للبنية الداخلية للمنصة المستهدفة.

لقد لاحظنا هذا البرنامج الضار في إحدى نماذجنا للمشاركة ، ونظرًا لندرة برامج Linux الجديدة تمامًا ، فقد لفت انتباهنا. الأمر الأكثر إثارة للاهتمام هو أنه سرعان ما أصبح واضحًا أن هذه البرامج الضارة تستهدف منصة Linux VoIP معينة. تم إنتاج ملف ELF الثنائي بواسطة مترجم Go مع ترك رموز تصحيح الأخطاء بدون تعديل ، وهو أمر مفيد دائمًا للتحليل.

لإخفاء الوظائف الضارة من التحليل الثابت الأساسي ، قام المؤلفون بتشفير جميع السلاسل المشبوهة باستخدام XXTEA والمفتاح fhu84ygf8643، ثم ترميزها base64. يوضح الشكل 1 بعض التعليمات البرمجية التي تستخدمها البرامج الضارة لفك تشفير هذه السلاسل في وقت التشغيل.

01 STRINGSc

الشكل 1. الروتين المستخدم لفك تشفير سلاسل الثنائي

للوصول إلى البيانات الداخلية المخزنة في قاعدة بيانات MySQL ، يقرأ البرنامج الضار بيانات الاعتماد من ملفات تكوين Linknat VOS2009 و VOS3000 التي يحاول تحديد موقعها في المسارات التالية:

  • /usr/kunshi/vos2009/server/etc/server_db_config.xml
  • /usr/kunshi/vos3000/server/etc/server_db_config.xml
  • /home/kunshi/vos2009/server/etc/server_db_config.xml
  • /home/kunshi/vos3000/server/etc/server_db_config.xml
  • /home/kunshi/vos2009/etc/server_db_config.xml
  • /home/kunshi/vos3000/etc/server_db_config.xml
  • /usr/kunshi/vos2009/server/etc/serverdbconfig.xml
  • /usr/kunshi/vos3000/server/etc/serverdbconfig.xml

ومن المثير للاهتمام أن كلمة المرور من ملف التكوين مخزنة بشكل مشفر. ومع ذلك ، لا تزال البرامج الضارة Linux / CDRThief قادرة على قراءتها وفك تشفيرها. وبالتالي ، يُظهر المهاجمون معرفة عميقة بالمنصة المستهدفة ، حيث لم يتم توثيق الخوارزمية ومفاتيح التشفير المستخدمة بقدر ما نستطيع أن نقول. هذا يعني أنه كان على المهاجمين إجراء هندسة عكسية لثنائيات النظام الأساسي أو الحصول على معلومات حول خوارزمية تشفير AES والمفتاح المستخدم في كود Linknat.

كما هو موضح في الشكل 2 ، يتواصل CDRThief مع خوادم C&C باستخدام JSON عبر HTTP.

02 WIRESHARK

الشكل 2. تم التقاط اتصال الشبكة الخاص بالبرامج الضارة Linux / CDRThief

هناك وظائف متعددة في كود Linux / CDRThief يستخدم للتواصل مع خوادم القيادة والسيطرة. يحتوي الجدول 1 على الأسماء الأصلية لهذه الوظائف التي استخدمها مؤلفو البرامج الضارة.

الجدول 1. الوظائف المستخدمة للتواصل مع C & C

اسم وظيفة مسار C & C غرض
main.pingNet / dataswop / أ للتحقق مما إذا كانت C & C على قيد الحياة
main.getToken / داتاسوب / API / ب يحصل على رمز
رئيسي / dataswop / API / gojvxs حلقة C & C الرئيسية ، تسمى كل ثلاث دقائق
main.baseInfo / dataswop / API / gojvxs يخفي المعلومات الأساسية حول نظام Linknat المخترق:
· عنوان ماك
قطة / إجراءات / إصدار
· من أنا
· قطة / الخ / redhat-release
UUID من /bin/ibus_10.mo (أو / home / kunshi / base / ibus_10.mo )
الإصدار الرئيسي / dataswop / Download / updateGoGoGoGoGo يحدّث نفسه إلى أحدث إصدار
main.pushLog / dataswop / API / gojvxs تحميل سجل أخطاء البرامج الضارة
تحميل / dataswop / API / gojvxs يخرج معلومات مختلفة حول المنصة:
· حدد المجموع (TABLE_ROWS) من information_schema.TABLES WHERE table_name مثل ‘e_cdr_٪”
· القط / الخ / motd
· اسم المستخدم وكلمة المرور المشفرة وعنوان IP الخاص بقاعدة البيانات
ACCESS_UUID من server.conf
إصدار البرنامج الخاص بك
main.syslogCall / dataswop / API / gojvxs يخرج البيانات من e_syslog الجداول
main.gatewaymapping / dataswop / API / gojvxs يخرج البيانات من خرائط البوابة الإلكترونية الجداول
main.cdr / dataswop / API / gojvxs يخرج البيانات من e_cdr الجداول

من أجل إخراج البيانات من النظام الأساسي ، يقوم Linux / CDRThief بتنفيذ استعلامات SQL مباشرة إلى قاعدة بيانات MySQL. بشكل أساسي ، تهتم البرامج الضارة بثلاثة جداول:

  • e_syslog – يحتوي على سجل أحداث النظام
  • خرائط البوابة الإلكترونية – يحتوي على معلومات حول بوابات VoIP (انظر الشكل 3)
  • e_cdr – يحتوي على سجلات بيانات المكالمات (البيانات الوصفية للمكالمات)

03 QUERY

الشكل 3. رمز الوظيفة المفكك الذي يقوم بتهيئة استعلام SQL

البيانات المطلوب استخراجها من e_syslog، خرائط البوابة الإلكترونيةو و e_cdr يتم ضغط الجداول ثم تشفيرها باستخدام مفتاح عمومي RSA-1024 مشفر قبل الاستخراج. وبالتالي ، يمكن فقط لمؤلفي البرامج الضارة أو المشغلين فك تشفير البيانات المسربة.

استنادًا إلى الوظيفة الموصوفة ، يمكننا القول أن التركيز الأساسي للبرامج الضارة ينصب على جمع البيانات من قاعدة البيانات. على عكس الأبواب الخلفية الأخرى ، لا يدعم Linux / CDRThief تنفيذ أوامر shell أو إخراج ملفات معينة من قرص softswitch المخترق. ومع ذلك ، يمكن تقديم هذه الوظائف في إصدار محدث.

يمكن نشر البرامج الضارة في أي مكان على القرص تحت أي اسم ملف. من غير المعروف نوع المثابرة المستخدم لبدء البرنامج الثنائي الخبيث في كل تمهيد. ومع ذلك ، تجدر الإشارة إلى أنه بمجرد بدء تشغيل البرنامج الضار ، فإنه يحاول إطلاق برنامج ثنائي شرعي على النظام الأساسي Linknat VOS2009 / VOS3000 باستخدام الأمر التالي:

exec -a ‘/ home / kunshi / callservice / bin / callservice -r /home/kunshi/.run/callservice.pid’

يشير هذا إلى أنه قد يتم إدخال البرنامج الثنائي الخبيث بطريقة ما في سلسلة تمهيد عادية للنظام الأساسي من أجل تحقيق الثبات وربما التنكر كمكوِّن لبرنامج Linknat softswitch.

في وقت كتابة هذا التقرير ، لا نعرف كيف يتم نشر البرامج الضارة على الأجهزة المخترقة. نتوقع أن المهاجمين قد يحصلون على وصول إلى الجهاز باستخدام هجوم القوة الغاشمة أو من خلال استغلال ثغرة أمنية. تم الإبلاغ عن نقاط الضعف هذه في VOS2009 / VOS3000 علنًا في الماضي.

قمنا بتحليل البرامج الضارة Linux / CDRThief ، والتي لها غرض فريد لاستهداف محولات معينة عبر بروتوكول VoIP. نادرًا ما نرى استهدافًا عبر بروتوكول VoIP من قبل جهات التهديد ؛ هذا يجعل البرامج الضارة Linux / CDRThief مثيرة للاهتمام.

من الصعب معرفة الهدف النهائي للمهاجمين الذين يستخدمون هذه البرامج الضارة. ومع ذلك ، نظرًا لأن هذا البرنامج الضار يخترق معلومات حساسة ، بما في ذلك البيانات الوصفية للمكالمات ، يبدو من المعقول افتراض أن البرامج الضارة تُستخدم في التجسس الإلكتروني. الهدف الآخر المحتمل للمهاجمين الذين يستخدمون هذه البرامج الضارة هو الاحتيال عبر بروتوكول VoIP. نظرًا لأن المهاجمين يحصلون على معلومات حول نشاط مفاتيح تحويل الصوت عبر بروتوكول الإنترنت وبواباتهم ، يمكن استخدام هذه المعلومات لأداء الاحتيال الدولي لمشاركة الإيرادات (IRSF).

لأية استفسارات ، أو لتقديم عينات تتعلق بالموضوع ، اتصل بنا على [email protected].

المحتويات

اسم اكتشاف ESET

Linux / CDRThief.A

كائنات تستند إلى ملف

/dev/shm/.bin
/dev/shm/.linux

الملفات التي تم إنشاؤها أثناء تحديث البرامج الضارة

/ dev / shm / callservice
/dev/shm/sys.png

تجزئة

CC373D633A16817F7D21372C56955923C9DDA825
8E2624DA4D209ABD3364D90F7BC08230F84510DB (معبأة UPX)
FC7CCABB239AD6FD22472E5B7BB6A5773B7A3DAC
8532E858EB24AE38632091D2D790A1299B7BBC87 (تالف)

سي أند سي

http: //119.29.173[.]65
http: //129.211.157[.]244
http: //129.226.134[.]180
http: //150.109.79[.]136
http: //34.94.199[.]142
http: //35.236.173[.]187

مفتاح تشفير الاختراق (RSA)

—–المفتاح العام للبدء—–MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCQ3k3GgS3FX4pI7s9x0krBYqbMcSaw4BPY91Ln
tt5 / X8s9l0BC6PUTbQcUzs6PPXhKKTx8ph5CYQqdWynxOLJah0FMMRYxS8d0HX + Qx9eWUeKRHm2E
AtZQjdHxqTJ9EBpHYWV4RrWmeoOsWAOisvedlb23O0E55e8rrGrZLhPbwIDAQAB
—–نهاية المفتاح العام—–

ملاحظة: تم إنشاء هذا الجدول باستخدام الإصدار 7 من إطار عمل MITER ATT & CK.

تكتيك هوية شخصية اسم وصف
التهرب الدفاعي T1027 ملفات أو معلومات مبهمة يحتوي Linux / CDRThief على سلاسل تشويش في الحمولة.
T1027.002 ملفات أو معلومات مبهمة: تعبئة البرامج بعض عينات Linux / CDRThief معبأة بـ UPX.
الوصول إلى بيانات الاعتماد T1552.001 بيانات الاعتماد غير المؤمنة: بيانات الاعتماد في الملفات يقرأ Linux / CDRThief بيانات اعتماد قاعدة بيانات MySQL من ملف تكوين.
اكتشاف T1082 اكتشاف معلومات النظام يحصل Linux / CDRThief على معلومات مفصلة حول الكمبيوتر المخترق.
مجموعة T1560.003 أرشفة البيانات المجمعة: الأرشفة عبر الطريقة المخصصة يقوم Linux / CDRThief بضغط البيانات المسروقة باستخدام gzip قبل الاستخراج.
القيادة والتحكم T1071.001 بروتوكول طبقة التطبيق: بروتوكولات الويب يستخدم Linux / CDRThief بروتوكول HTTP للتواصل مع خادم C&C.
التسلل T1041 تسلل فوق قناة C2 يقوم Linux / CDRThief بسحب البيانات إلى خادم القيادة والتحكم.

اترك تعليق

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


شروط التعليق :

عدم الإساءة للكاتب أو للأشخاص أو للمقدسات أو مهاجمة الأديان أو الذات الالهية. والابتعاد عن التحريض الطائفي والعنصري والشتائم.

الاخبار العاجلة