Giao thức GPRS Tunneling Protocol (GTP) là một giao thức được sử dụng trong các mạng di động, đặc biệt là trong các mạng di động sử dụng công nghệ GSM (Global System for Mobile Communications) và các tiêu chuẩn liên quan như EDGE (Enhanced Data rates for GSM Evolution) và UMTS (Universal Mobile Telecommunications System). GTP được thiết kế để hỗ trợ việc chuyển tiếp và định tuyến dữ liệu trong mạng di động. GPRS cho phép thuê bao truy cập các dịch vụ GPRS của họ khi chúng ở ngoài phạm vi phủ sóng của mạng di động gia đình. Có hai biến thể chính của GTP là:
GTP-C (GTP Control Plane): Được sử dụng cho việc truyền các thông điệp điều khiển giữa các thiết bị trong mạng di động, chẳng hạn như trao đổi thông tin về tài nguyên mạng, quản lý kết nối và quản lý người dùng.
GTP-U (GTP User Plane): Được sử dụng để truyền dữ liệu người dùng sử dụng trong mạng, chẳng hạn như các gói dữ liệu Internet, email và multimedia.
Khi thực thi, GTPDOOR tự ngụy trang dưới dạng nhật ký hệ thống (syslog) được gọi từ kernel bằng cách thay đổi tên tiến trình của nó. Sau đó, nó thiết lập Raw socket - một loại giao diện lập trình ứng dụng (API) trong hệ điều hành, cho phép ứng dụng truy cập trực tiếp vào lớp mạng của hệ thống mà không thông qua các lớp giao tiếp mạng tiêu chuẩn trên máy bị nhiễm mã độc, cho phép trao đổi các thông điệp UDP (User Datagram Protocol) qua giao diện mạng. Điều này cho phép các tác nhân đe dọa có khả năng tồn tại lâu dài trên mạng để trao đổi các nội dung độc hại bằng cách sử dụng GTP-C.
Các gói tin từ GTP-C đóng vai trò là kênh phát lệnh đến các máy chủ bị xâm nhập và nhận kết quả từ xa. Ngoài ra, các nhà nghiên cứu lưu ý rằng có thể thực hiện kiểm thử xâm nhập thăm dò bên ngoài để tìm ra phản hồi bằng cách gửi một gói tin TCP đến bất kỳ cổng (port) bất kỳ. Nếu phần cài đặt trên GTPDOOR này hoạt động, một gói tin TCP trống được tạo ra cùng với thông tin nếu cổng đích đã mở hoặc phản hồi (open/responding) trên máy chủ.
Về cơ bản, GTPDOOR dường như được xây dựng dành cho các máy chủ bị xâm nhập trong mạng GRX giao tiếp với các mạng của nhà khai thác viễn thông khác thông qua kết nối GRX. Điều này nhấn mạnh tầm quan trọng của các biện pháp bảo mật mạnh mẽ cần được áp dụng để bảo vệ các cơ sở hạ tầng quan trọng này trước các mối đe dọa đang gia tăng như GTPDOOR.
Trương Đình Dũng
09:00 | 29/02/2024
13:00 | 07/02/2024
10:00 | 21/02/2024
09:00 | 03/04/2024
Ngày 02/4, hệ thống công nghệ thông tin của Tổng công ty Dầu Việt Nam (PVOIL) bị tấn công bất hợp pháp có chủ đích theo hình thức mã hóa dữ liệu (ransomware). Vụ việc này đã khiến hệ thống công nghệ thông tin của PVOIL bị ngưng trệ, việc phát hành hóa đơn điện tử phục vụ việc bán hàng của PVOIL tạm thời không thể thực hiện được.
13:00 | 07/02/2024
Vừa qua, Trung tâm ứng cứu khẩn cấp máy tính Ukraine (CERT-UA) phát cảnh báo về việc hơn 2.000 máy tính ở nước này đã bị lây nhiễm một loại phần mềm độc hại có tên là DirtyMoe.
07:00 | 15/01/2024
Pegasus được đánh giá là một trong những phần mềm gián điệp mạnh mẽ nhất hiện nay, chúng có các chức năng đánh cắp dữ liệu toàn diện hơn rất nhiều so với các phần mềm gián điệp khác, với khả năng thu thập thông tin mọi thứ từ dữ liệu có giá trị cao như mật khẩu, danh bạ và các dữ liệu từ các ứng dụng khác. Trong bài báo này, tác giả sẽ giới thiệu tổng quan về mã độc Pegasus và biến thể Chrysaor cùng các phương thức tấn công và cách phòng chống mã độc nguy hiểm này.
09:00 | 09/01/2024
Một nhóm tin tặc có tên Cyber Toufan được cho là do nhà nước Palestine hậu thuẫn tuyên bố đã tấn công hơn 100 tổ chức của Israel thông qua các hoạt động xóa và đánh cắp dữ liệu. Đây là một phần của chiến dịch tấn công toàn diện mà nguyên nhân là việc căng thẳng chính trị ngày càng gia tăng trong khu vực.
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024