跳转到帖子
  • 游客您好,欢迎来到黑客世界论坛!您可以在这里进行注册。

    赤队小组-代号1949(原CHT攻防小组)在这个瞬息万变的网络时代,我们保持初心,创造最好的社区来共同交流网络技术。您可以在论坛获取黑客攻防技巧与知识,您也可以加入我们的Telegram交流群 共同实时探讨交流。论坛禁止各种广告,请注册用户查看我们的使用与隐私策略,谢谢您的配合。小组成员可以获取论坛隐藏内容!

    TheHackerWorld官方

新的 Linux 恶意软件从 VoIP 软交换系统窃取通话详细信息


HACK1949

推荐的帖子

网络安全研究人员发现了一种名为“ CDRThief”的全新Linux恶意软件,该恶意软件针对IP语音(VoIP)软交换,旨在窃取电话元数据。ESET研究人员在周四的分析中说:“该恶意软件的主要目标是从受感染的软交换中窃取各种私人数据,包括呼叫详细记录(CDR)。” “要窃取此元数据,恶意软件会查询软交换使用的内部MySQL数据库。因此,攻击者充分了解了目标平台的内部体系结构。”

软交换(软件交换机的缩写)通常是VoIP服务器,允许电信网络提供对语音、传真、数据和视频流量以及呼叫路由的管理。

ESET的研究发现cdrreiver针对的是一个特定的Linux VoIP平台,即来自中国Linknat公司的VOS2009和3000软交换,并对其恶意功能进行加密,以逃避静态分析。

恶意软件首先试图从预先确定的目录列表中找到软交换配置文件,目的是访问MySQL数据库凭据,然后对其进行解密以查询数据库。

ESET的研究人员说,攻击者必须对平台二进制文件进行反向工程,以分析加密过程,并检索用于解密数据库密码的AES密钥,这表明作者对VoIP体系结构有“深入的了解”。

除了收集有关被破坏的Linknat系统的基本信息外,CDRthicker还过滤数据库的详细信息(用户名、加密密码、IP地址),并直接对MySQL数据库执行SQL查询,以便捕获与系统事件、VoIP网关和呼叫元数据相关的信息。

ESET说:“从e_syslog,e_gatewaymapping和e_cdr表中渗出的数据经过压缩,然后在渗出之前使用硬编码的RSA-1024公钥加密。因此,只有攻击者或操作员才能解密渗入的数据。”

从当前版本的ESET中可以很容易地将恶意软件的更新形式引入到其更新版本中,但这种恶意软件可能只会导致当前版本的数据更新。

也就是说,攻击者的最终目标或有关行动背后的攻击者的信息仍然不清楚。

“在撰写本文时,我们还不知道这些恶意软件是如何部署到被破坏的设备上的,”ESET的安东·切雷帕诺夫说我们推测攻击者可能会使用暴力攻击或利用漏洞来访问设备。”

“这似乎是合理的假设,恶意软件是用于网络间谍活动。使用此恶意软件的攻击者的另一个可能目标是VoIP欺诈。由于攻击者获取有关VoIP软交换及其网关的活动信息,这些信息可用于执行国际收入分成欺诈(IRSF)。”

 

 

稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。

本文由 HackerNews.cc 翻译整理,

转载请注明“转自 HackerNews.cc ” 并附上原文链接。

链接帖子
意见的链接
分享到其他网站

黑客攻防讨论组

黑客攻防讨论组

    You don't have permission to chat.
    • 最近浏览   0位会员

      • 没有会员查看此页面。
    ×
    ×
    • 创建新的...