GTPに穴をあけるGTPDOOR

GTPDOORはLinux環境で動作するバックドア型マルウェアです。
GTPはGPRSトンネリングプロトコルです。
どんなものなのでしょうか。

• GTPを使う
  GTPのトンネルは、携帯端末とパケット交換機の間で張られたりするもので、それらのネットワークインターフェイスをシームレスに相互接続するために使用されます。
  通常、GTPを利用するホストはGRX firewallで守られた状態で利用されるのですが、GTPはこのfirewallを超えて通信することができてしまいます。
• リモートコード実行機能
  このマルウェアには、リモートコード実行機能が搭載されています。
  コマンドの実行を依頼し、その結果を外部で受け取ることが可能なのですが、そのやり取りされるパケットはネットワーク的にみると、GTP_ECHO_REQUEST/GTP_ECHO_RESPONSEメッセージの形状となっています。
  これは、通常のGTPで利用される形式のパケットとなっているため、目的のホストと外部との間でやり取りができてしまいます。
• 暗号化されたコマンド
  リモート実行するコマンドは、マジックパケットで通信されます。
  そして、そのマジックパケットはXORで暗号化されています。
• プロセス名の細工
  現地で動作する機構は、プロセス名を細工した状態になっていて、いかにも不審なプロセスが存在していない様子を作り出します。
  細工されたプロセス名は、カーネルスレッドとして呼び出されるsyslogプロセスのように見えます。

GRX firewallの内側には、どのようなデータがあるでしょう。
請求や支払いに関するシステム、ネットワークの管理のためのシステムなど、外部から見られることを避けたいシステムが稼働しているのではないでしょうか。
こういったシステムに、このGTPDOORは触れることができる位置で動作してしまうことができるものと考えられます。

このマルウェアの利用するGTPのパケットは、GTPのプロトコル的には通常利用されない組み合わせの状態で利用されます。
このため、firewallがプロトコルの妥当性を詳しく検証して通信許可することができる機能を搭載していれば、防ぐことができる場合がある脅威なのではないかと思われます。
いろいろな防御機構がありますが、それらの防御機構の機能拡張やバグ対応のための更新も運用として継続していきたいものです。

参考記事（外部リンク）：GTPDOOR – A novel backdoor tailored for covert access over
the roaming exchange
doubleagent.net/telecommunications/backdoor/gtp/2024/02/27/GTPDOOR-COVERT-TELCO-BACKDOOR