针对Linux VoIP软交换的新型CDRThief恶意软件，用于记录呼叫元数据

 CDRThief-在针对特定IP语音系统的野外检测到的新威胁，并通过电话交换设备窃取了呼叫数据记录（CDR）。恶意软件分析家说，这种恶意软件是为特定的Linux VolP平台-Linknat VOS2009 / 3000软交换专门设计的。

软交换是指充当VolP服务器并管理电信网络中流量的软件解决方案。检测到的恶意软件试图破坏易受攻击的VOS2009 / 3000软开关，以从MySQL数据库窃取呼叫元数据。这些数据包括呼叫者的IP地址，电话号码，呼叫的开始时间和持续时间，路由和类型。

在分析中，ESET研究人员得出的结论是，该恶意软件试图通过使用XXTEA密码并随后在可疑外观上运行Base64编码来混淆恶意功能。

MySQL数据库通常受密码保护。 ESET认为作者必须反转这些工程师平台的二进制文件，才能在LInknat代码中获取有关AES的详细信息以及用于解密数据库访问密码的密钥。

CDRThief恶意软件可以读取和解密此密钥，这表明该软件的开发人员非常了解该平台。在使用硬编码的RSA-1024公钥对其进行压缩和加密之后，使用JSON over HTTP将收集到的信息发送到命令和控制服务器。

  “基于所描述的功能，我们可以说恶意软件的主要重点是从数据库收集数据。与其他后门不同，Linux / CDRThief不支持shell命令执行或从受感染的软交换机磁盘中窃取特定文件。但是，可以在更新版本中引入这些功能-ESET。

目前，尚不知道该恶意软件如何获得持久性。研究人员认为，命令-exec -a’/ home / kunshi / callservice / bin / callservice -r / home / kunshi / .run / callservice.pid’-可能已插入平台，伪装成Linknat软交换组件。