针对Linux VoIP软交换的新型CDRThief恶意软件,用于记录呼叫元数据
CDRThief-在针对特定IP语音系统的野外检测到的新威胁,并通过电话交换设备窃取了呼叫数据记录(CDR)。恶意软件分析家说,这种恶意软件是为特定的Linux VolP平台-Linknat VOS2009 / 3000软交换专门设计的。 软交换是指充当VolP服务器并管理电信网络中流量的软件解决方案。检测到的恶意软件试图破坏易受攻击的VOS2009 / 3000软开关,以从MySQL数据库窃取呼叫元数据。这些数据包括呼叫者的IP地址,电话号码,呼叫的开始时间和持续时间,路由和类型。 在分析中,ESET研究人员得出的结论是,该恶意软件试图通过使用XXTEA密码并随后在可疑外观上运行Base64编码来混淆恶意功能。 MySQL数据库通常受密码保护。 ESET认为作者必须反转这些工程师平台的二进制文件,才能在LInknat代码中获取有关AES的详细信息以及用于解密数据库访问密码的密钥。 CDRThief恶意软件可以读取和解密此密钥,这表明该软件的开发人员非常了解该平台。在使用硬编码的RSA-1024公钥对其进行压缩和加密之后,使用JSON over HTTP将收集到的信息发送到命令和控制服务器。 “基于所描述的功能,我们可以说恶意软件的主要重点是从数据库收集数据。与其他后门不同,Linux / CDRThief不支持shell命令执行或从受感染的软交换机磁盘中窃取特定文件。但是,可以在更新版本中引入这些功能-ESET。 目前,尚不知道该恶意软件如何获得持久性。研究人员认为,命令-exec -a'/...
