Giao thức GPRS Tunneling Protocol (GTP) là một giao thức được sử dụng trong các mạng di động, đặc biệt là trong các mạng di động sử dụng công nghệ GSM (Global System for Mobile Communications) và các tiêu chuẩn liên quan như EDGE (Enhanced Data rates for GSM Evolution) và UMTS (Universal Mobile Telecommunications System). GTP được thiết kế để hỗ trợ việc chuyển tiếp và định tuyến dữ liệu trong mạng di động. GPRS cho phép thuê bao truy cập các dịch vụ GPRS của họ khi chúng ở ngoài phạm vi phủ sóng của mạng di động gia đình. Có hai biến thể chính của GTP là:
GTP-C (GTP Control Plane): Được sử dụng cho việc truyền các thông điệp điều khiển giữa các thiết bị trong mạng di động, chẳng hạn như trao đổi thông tin về tài nguyên mạng, quản lý kết nối và quản lý người dùng.
GTP-U (GTP User Plane): Được sử dụng để truyền dữ liệu người dùng sử dụng trong mạng, chẳng hạn như các gói dữ liệu Internet, email và multimedia.
Khi thực thi, GTPDOOR tự ngụy trang dưới dạng nhật ký hệ thống (syslog) được gọi từ kernel bằng cách thay đổi tên tiến trình của nó. Sau đó, nó thiết lập Raw socket - một loại giao diện lập trình ứng dụng (API) trong hệ điều hành, cho phép ứng dụng truy cập trực tiếp vào lớp mạng của hệ thống mà không thông qua các lớp giao tiếp mạng tiêu chuẩn trên máy bị nhiễm mã độc, cho phép trao đổi các thông điệp UDP (User Datagram Protocol) qua giao diện mạng. Điều này cho phép các tác nhân đe dọa có khả năng tồn tại lâu dài trên mạng để trao đổi các nội dung độc hại bằng cách sử dụng GTP-C.
Các gói tin từ GTP-C đóng vai trò là kênh phát lệnh đến các máy chủ bị xâm nhập và nhận kết quả từ xa. Ngoài ra, các nhà nghiên cứu lưu ý rằng có thể thực hiện kiểm thử xâm nhập thăm dò bên ngoài để tìm ra phản hồi bằng cách gửi một gói tin TCP đến bất kỳ cổng (port) bất kỳ. Nếu phần cài đặt trên GTPDOOR này hoạt động, một gói tin TCP trống được tạo ra cùng với thông tin nếu cổng đích đã mở hoặc phản hồi (open/responding) trên máy chủ.
Về cơ bản, GTPDOOR dường như được xây dựng dành cho các máy chủ bị xâm nhập trong mạng GRX giao tiếp với các mạng của nhà khai thác viễn thông khác thông qua kết nối GRX. Điều này nhấn mạnh tầm quan trọng của các biện pháp bảo mật mạnh mẽ cần được áp dụng để bảo vệ các cơ sở hạ tầng quan trọng này trước các mối đe dọa đang gia tăng như GTPDOOR.
Trương Đình Dũng
09:00 | 29/02/2024
13:00 | 07/02/2024
10:00 | 21/02/2024
15:00 | 27/11/2024
Starbucks đang phải đối mặt với hậu quả của một cuộc tấn công sử dụng ransomware nhắm vào nhà cung cấp phần mềm cho thương hiệu này, khiến việc chấm công tại các cửa hàng phải chuyển qua phương pháp thủ công.
10:00 | 30/10/2024
Vụ việc hàng nghìn máy nhắn tin và các thiết bị liên lạc khác phát nổ ở Liban hồi tháng 9 đã gióng lên hồi chuông cảnh báo về phương thức tấn công chuỗi cung ứng mới vô cùng nguy hiểm, đánh dấu sự leo thang mới trong việc sử dụng chuỗi cung ứng chống lại các đối thủ. Điều này đã đặt ra yêu cầu cấp bách cho các nhà lãnh đạo toàn cầu về việc giảm phụ thuộc vào công nghệ từ các đối thủ.
14:00 | 28/10/2024
Nhóm tin tặc Awaken Likho hay còn được gọi với cái tên Core Werewolf đã quay trở lại và tiếp tục nhắm mục tiêu vào các cơ quan chính phủ, doanh nghiệp lớn. Bài viết này sẽ tiến hành phân tích kỹ thuật tấn công của nhóm dựa trên công bố của hãng bảo mật Kaspersky.
12:00 | 03/10/2024
Mới đây, các chuyên gia bảo mật tại Kaspersky phát hiện ra 2 phần mềm có chứa mã độc Necro trên cửa hàng ứng dụng Play Store của Google. Đáng chú ý, 2 phần mềm độc hại này đã có tới hơn 11 triệu lượt tải xuống trước khi được các chuyên gia phát hiện.
Một lỗ hổng zero-day mới được phát hiện ảnh hưởng đến mọi phiên bản Microsoft Windows, bao gồm cả các phiên bản cũ và đang được hỗ trợ, cho phép kẻ tấn công chiếm đoạt thông tin đăng nhập NTLM của người dùng chỉ bằng việc xem một tệp trong Windows Explorer.
10:00 | 11/12/2024