Neue CDRThief-Malware für Linux-VoIP-Softswitches zur Aufzeichnung von Anrufmetadaten

Mark September 10, 2020

 CDRThief – eine neue Bedrohung, die in freier Wildbahn entdeckt wird und auf ein bestimmtes Voice-over-IP-System abzielt und Anrufdatensätze (CDR) über Telefonvermittlungsgeräte stiehlt. Malware-Analysten sagen, dass diese Malware speziell für eine bestimmte Linux VolP-Plattform entwickelt wurde – Linknat VOS2009 / 3000-Softswitches.

Softswitches beziehen sich auf eine Softwarelösung, die als VolP-Server fungiert und den Datenverkehr in einem Telekommunikationsnetzwerk verwaltet. Die erkannte Malware versucht, die anfälligen VOS2009 / 3000-Softswitches zu kompromittieren, um die Anrufmetadaten aus MySQL-Datenbanken zu stehlen. Zu diesen Daten gehören IP-Adressen der Anrufer, Telefonnummern, Startzeit und Dauer des Anrufs, Route und Typ.

Bei der Analyse kommen ESET-Forscher zu dem Schluss, dass diese Malware versucht, die schädliche Funktionalität zu verschleiern, indem sie die XXTEA-Verschlüsselung verwendet und dann die Base64-Codierung für verdächtig aussehende Links ausführt.

Die MySQL-Datenbanken sind normalerweise passwortgeschützt. ESET glaubt, dass die Autoren diese Binärdateien der Engineer-Plattform umkehren mussten, um die Details im LInknat-Code über das AES und den Schlüssel zum Entschlüsseln des Datenbankzugriffskennworts zu erhalten.

Die CDRThief-Malware kann diesen Schlüssel lesen und entschlüsseln. Dies ist ein Hinweis darauf, dass die Entwickler der CD sehr gut über die Plattform Bescheid wissen. Die gesammelten Informationen werden über JSTP über HTTP an den Befehls- und Steuerungsserver gesendet, nachdem sie mit einem fest geladenen öffentlichen RSA-1024-Schlüssel komprimiert und verschlüsselt wurden.

  „Basierend auf der beschriebenen Funktionalität können wir sagen, dass der Hauptfokus der Malware auf dem Sammeln von Daten aus der Datenbank liegt. Im Gegensatz zu anderen Backdoors unterstützt Linux / CDRThief weder die Ausführung von Shell-Befehlen noch das Exfiltrieren bestimmter Dateien von der Festplatte des gefährdeten Softswitch. Diese Funktionen könnten jedoch in einer aktualisierten Version ”-ESET eingeführt werden.

Derzeit ist nicht bekannt, wie die Malware an Persistenz gewinnt. Forscher glauben, dass der Befehl – exec -a ‘/ home / kunshi / Call-Service / bin / Call-Service -r / home / kunshi / .run / Call-Service.pid’ – in die Plattform eingefügt werden könnte, getarnt als Linknat-Softswitch-Komponente.

More Stories

Windows 11 Update: Verabschieden Sie sich von diesen Funktionen

Mark June 25, 2021

Massachusetts MassNotify Android COVID-App von Google erzwungen

Mark June 21, 2021

Was ist neu bei Microsoft Windows 10 Build 19043.1052

Mark June 10, 2021

You may have missed

So entfernen You Have a Serious Problem Ransomware und stellen .darkdev-Dateien wieder her

Mark November 15, 2024

So entfernen Ymir Ransomware und stellen gesperrt-Dateien wieder her

Mark November 15, 2024

So entfernen MrBeast Ransomware und stellen gesperrt-Dateien wieder her

Mark November 15, 2024

So entfernen Arcus Ransomware und stellen .Arcus-Dateien wieder her

Mark November 15, 2024

So entfernen DARKSET Ransomware und stellen .DARKSET-Dateien wieder her

Mark November 14, 2024