欢迎进入UG环球官网(环球UG)!

场外usdt承兑平台(www.payusdt.vip):INJ3CTOR3:有攻击者攻击并控制 VoIP SIP 服务器实现赚钱

admin5个月前107

USDT跑分网

U交所(www.9cx.net)是使用TRC-20协议的Usdt官方交易所,开放USDT帐号注册、usdt小额交易、usdt线下现金交易、usdt实名不实名交易、usdt场外担保交易的平台。免费提供场外usdt承兑、低价usdt渠道、Usdt提币免手续费、Usdt交易免手续费。U交所开放usdt otc API接口、支付回调等接口。

最近,Check Point Research遇到了一系列与VoIP相关的全球性攻击,稀奇是针对Session initiation Protocol (SIP)服务器的攻击。凭证所掌握的信息,似乎存在来自差异制造商的SIP服务器的系统行使模式。进一步的研究解释,这是黑客运营的大型盈利营业模子的一部门。

黑客通过攻击SIP服务器获得控制权,并可以通过多种方式滥用它们。一种更为庞大和有趣的方式是滥用服务器拨打电话,这也被用来发生利润。由于拨打电话是一种正当的功效,因此很难检测到服务器是否被行使(Asterisk是一种功效异常齐全的应用程序,提供了许多电信功效)。

在研究历程中,研究职员发现了针对Sangoma PBX(一个治理Asterisk的开源web GUI)的新流动。 Asterisk是天下上最受迎接的VoIP PBX系统,许多财富500强公司都在使用它举行电信运行。该攻击行使CVE-2019-19006这个Sangoma中的主要破绽,授予攻击者治理员对该系统的接见权限。

在2020年上半年,研究职员考察到了全天下对传感器的多次攻击实验。从最初使用CVE-2019-19006到上传行使受熏染系统的已编码PHP文件,研究职员现在已经公然了攻击者的整个攻击流程。

在本文中,研究职员首先检查了攻击者使用的熏染前言以及所行使的破绽。然后,研究职员会观察特定流动背后的攻击者。最后,研究职员会注释他们的攻击历程和所使用的手艺。

Inj3ct0r的攻击流程

攻击历程

如上所述,该流动从扫描最先,继续行使破绽,并一直举行到Web Shell安装。获得对系统的接见权限使黑客可以出于自己的目的滥用服务器。 CVE-2019-19006是于2019年11月宣布的认证绕过破绽。CheckPoint Research能够通过检查捕捉的攻击流量和Sangoma用于FreePBX框架的GitHub存储库来推断该破绽。

FreePBX GitHub存储库中的相关提交信息

在易受攻击的Sangoma FreePBX版本中,身份验证功效通过首先为提供的用户名设置会话来事情,若是提供的密码与数据库中存储的密码不匹配,则删除会话设置。另外,FreePBX在登录历程中不会对密码参数执行输入完整性检查。通过将密码查询参数作为数组元素发送,攻击者可以使身份验证功效在未设置会话之前失败,从而为所选的用户名(包罗admin)保留一个正当的会话。

CVE-2019-19006的看法证实

向易受攻击的FreePBX服务器发出上述请求,使攻击者能够以admin用户身份登录。 ' password '的值并不主要,由于该破绽取决于以数组元素' password[0] '的形式发送参数。

攻击流程

攻击始于SIPVicious,这是一种盛行的工具套件,用于审核基于SIP的VoIP系统。攻击者使用svmap模块在网上扫描运行易受攻击的FreePBX版本的SIP系统。一旦发现,攻击者行使CVE-2019-19006获得对系统的治理员接见权。

攻击者行使了CVE-2019-19006

绕过身份验证步骤后,攻击者使用asterisk-cli模块在受熏染的系统上执行下令,并上传以base64编码的基本PHP Web shell。

攻击者上传了初始Web Shell,Referer标头指向服务器上不存在的以前的Web Shell版本

攻击者的初始Web Shell

此时,攻击分为两个自力的流程。

第一个攻击流程

第一个攻击流程

在第一个攻击流程中,初始Web Shell用于检索Asterisk治理文件/etc/amportal.conf和/etc/asterisk/sip_additional.conf的内容。它们包罗FreePBX系统数据库的凭证和种种SIP扩展名的密码。这使攻击者可以有用地接见整个系统,并可以行使每个分机拨打电话。然后,使用受到攻击的Asterisk系统,他们遍历呼出电话的种种前缀,并实验拨打特定的电话号码(可能是他们自己的电话号码),以查看他们可以使用哪个前缀?

攻击者的通话程序

接下来,攻击者使用Web Shell从Pastebin下载base64编码的PHP文件。该文件中填充了垃圾注释,这些注释在解码时会天生受密码珍爱的Web Shell,该Web Shell也能够将凭证检索到Asterisk内部数据库和REST接口,另外攻击者还实验删除其文件的所有早期版本。

Web Shell中的密码珍爱。

第二个攻击流程

第二个攻击流程

第二个攻击流程照样使用初始Web Shell下载base64编码的PHP文件。对该文件举行解码将导致另一个web shell,该外壳不仅受密码珍爱,而且还接纳源IP验证形式的接见控制,并向未经授权的用户返回虚伪的HTTP 403阻止新闻

Web Shell中的密码珍爱和IP接见控制

然后,攻击者使用新的Web Shell执行以下操作:

1.下载PHP文件并将其保留为“/ tmp / k”,然后将“/var/www/html/admin/views/config.php”拖放到磁盘上。这是另一个base64编码的PHP文件,再次用隶属注释填充。解码后,它是受密码珍爱的Web面板。该面板使攻击者可以使用带有FreePBX和Elastix支持的受熏染系统来拨打电话,以及运行随便和硬编码的下令。

攻击者的web面板

该文件还将数据附加到“/var/www/html/admin/views/.htaccess”,从而允许从其他URI(例如,而不是“

附加到.htaccess的数据

2.更新FreePBX Framework,可能会修补CVE-2019-19006。

3.从“https://45[.]143.220.116/emo1.sh”下载shell剧本,该URL返回一个HTTP 404 Not Found错误,因此其用途现在未知。

4.在' /var/www/html/freeppx '处确立一个新目录,并将攻击中使用的所有文件移到该目录中。

,

USDT线上交易

U交所(www.9cx.net)是使用TRC-20协议的Usdt官方交易所,开放USDT帐号注册、usdt小额交易、usdt线下现金交易、usdt实名不实名交易、usdt场外担保交易的平台。免费提供场外usdt承兑、低价usdt渠道、Usdt提币免手续费、Usdt交易免手续费。U交所开放usdt otc API接口、支付回调等接口。

,

幕后的攻击组织

在使用CVE-2019-19006时代,研究职员的全球传感器辅助我们获得了唯一的字符串。当我们搜索这些字符串时,例如“rr.php”和“yokyok”(在图5和6中可以看到),研究职员发现了一个宣布到Pastebin的剧本。

用户INJ3CTOR3上传的第一行剧本,行使有用载荷和初始web shell匹配研究职员的传感器检测到的攻击

该剧本包罗最初的Web Shell上传,并行使了相同的破绽。它的上传者“INJ3CTOR3”已往上传过其他文件,包罗身份验证日志和暴力攻击剧本。此外,研究职员还发现这个名称泛起在公共源中的一个旧的SIP远程代码执行破绽(CVE-2014-7235)中。

研究职员称这可能是有意的,攻击者使用 “inje3t0r3-seraj” 的名称留下了“电话卡”,这似乎是Pastebin剧本上传者名称的变体。该字符串被设置为发送到Asterisk服务器的恶意请求中的password参数的值。如上所述,“密码”的值无关紧要。

作为行使CVE-2019-19006的一部门发送的“Inj3ct0r3-Seraj”

经由进一步的观察,这些名称最终导致了多个处置VoIP的私有Facebook小组,更详细地说,涉及SIP服务器行使。 “ voip__sip__inje3t0r3_seraj”组是最活跃的组,与差其余相关组共享治理员,包罗名为“injctor-seraj-rean”的治理员。

许多治理员在多个组中处于流动状态

该小组共享许多与SIP服务器行使相关的工具:扫描器、身份验证绕过和远程代码执行剧本。在这些剧本中,研究职员发现了在INJ3CTOR3的Pastebin中看到的brute-force剧本的一个变体。

该组织的主要目的是出售电话号码、通话设计以及对因Inj3ct0r攻击而遭到损坏的VoIP服务举行实时接见。

通过对之条件到的Facebook群组中宣布的内容、用户和差异帖子的研究,扩大了研究职员的研究局限。在社交网络中网络的差异线索使研究职员得出结论,SIP攻击相当普遍,稀奇是在中东。仔细检查差异组的治理员、活跃用户和携带者的资料,研究职员发现他们大多数来自加沙、西岸和埃及。

研究职员找到了该领域的几位相关人士,他们宣布了销售帖子、工具和网站。通过网络更多关于他们治理的团队以及他们拥有的相关房间和通道的信息,研究职员找到了更多的发现。

最初的发现是关于若何扫描、网络相关服务器上的信息和使用开发剧本的教程。这些指令将这个历程简化到任何人都可以完成的简朴水平,因此,似乎有一个重大且不停增进的社区介入了对VoIP服务的黑客攻击。

虽然这可以注释熏染链,但仍有一个关于攻击念头的问题。进一步的剖析不仅导致对SIP服务器的攻击发生的规模比最初想像的要大,这令人惊讶,而且还发现了一种潜在的经济模子:

SIP黑客的操作方式

上面的流程链归纳综合地注释了恶意操作模子,然则,这并不意味着所有攻击者都使用相同的工具和破绽。例如,攻击者要获得对受攻击SIP服务器的控制,并非必须执行所有阶段。

相关IP局限

该历程的最最先是黑客确立每个国家/区域当前可用的相关IP列表。这不仅可以缩小后期扫描的局限,而且另有助于深入研究黑客感兴趣的差异国家。

黑客天生每个国家/区域的相关IP列表

通常可以通过使用更智能的扫描手艺或差异组之间的知识共享来省略此步骤。

扫描和目的列表

确立初始列表后,扫描阶段最先。种种相关的扫描程序均可用于此义务,最常见的扫描程序是“SIPvicious”。黑客获得与扫描装备有关的信息,例如版本,这些信息将在以后的阶段中使用。在对差异对话的进一步剖析中,研究职员考察到了讨论SIP黑客的差异论坛中IP列表和扫描剧本的交流情形。

SIP黑客组织使用的工具,例如上面看到的扫描仪,都在小组成员中宣布了,该组织的大多数成员似乎都是讲 *** 语的人。

在telegram组中宣布的黑客教程中,黑客扫描的IP列表,在后台可以看到FPBX GUI

试图损坏SIP服务器并获得控制权

凭证前几个阶段网络的信息,黑客试图行使相关破绽来控制服务器。在信息丢失或绕过系统珍爱失败的情形下,黑客可能会使用暴力手段。

除了在INJ3CTOR3流动(CVE-2019-19006)中使用的VoIP破绽外,在差其余对话中也提到了这些破绽。此外,成员共享用户名和密码列表的知识,以及用于入侵系统的相关工具。

若是黑客通过行使破绽,强行突入或使用给定信息乐成地获得了对系统的控制,那么下一个目的就是获得对系统的持久性控制。这可以通过上传Web Shell来继续与系统通讯来实现。在INJ3CTOR3流动中,研究职员看到了几个web shell,它们在几个差其余步骤中用于差其余功效。

若何使用服务器牟利?

最终,攻击者在被攻击的服务器上驻足后,便可以拨打任何所需的号码。一种可能的常见用法是使用被行使的服务器拨打国际保险费率号码(IPRN)。

呼叫IPRN时,呼叫者将按分钟向IPRN所有者支付用度,该用度取决于呼叫者的国籍。有些公司在差异设计中提供了一系列IPRN编号。

从演示服务获取的费率示意例,包罗价钱、相关国家和相关测试编号

若是流量足够大,此模子可以提供足够的利润来支付IPRN成本。因此,IPRN服务通常用于使呼叫者处于守候状态或拥有许多客户(即优质内容通话)的企业中。客户停留的时间越长,拥有IPRN的公司所获得的钱就越多。

高级数字演示仪表板,每个数字的统计、收益和信息都在界面中显示

由于这些缘故原由,黑客似乎专注于IPRN程序。使用IPRN程序不仅使黑客可以拨打电话,而且还滥用SIP服务器来牟利。行使的服务器越多,可以对IPRN举行的挪用就越多。

换句话说,黑客被以为是购置IPRN设计的相关市场。因此,可以在这些论坛和页面上看到许多有关IPRN销售的帖子。研究职员遇到了许多差其余IPRN供应商的类似帖子:

两篇以差异方式出售IPRN的众多帖子

攻击影响

如上所述,攻击者的最终目的是出售受熏染系统的呼出电话以及对系统自己的接见权。

不受限制地接见公司的电话系统可以使攻击者及其客户使用受到熏染的公司的资源拨打电话,并窃听正当通话。他们还可以使用受熏染的系统举行进一步的攻击,例如使用系统资源举行加密挖掘,在公司网络中横向流传或在伪装成受熏染的公司的同时对外部目的提议攻击。

总结

攻击者行使了一个易于行使的破绽来攻击全球的Asterisk SIP服务器。虽然有关该破绽的详细信息从未公然宣布过,但攻击者已经想法使用该破绽并为从中赚钱了。如上所示,位于巴勒斯坦加沙地带的攻击者已经分享和出售他们的工具了。对Asterisk服务器的这种攻击也很罕有,由于攻击者的目的不仅是出售对受熏染系统的接见权限,而且还行使系统的基础架构来牟利。

本文翻译自:https://research.checkpoint.com/2020/inj3ctor3-operation-leveraging-asterisk-servers-for-monetization/:
上一篇 下一篇

猜你喜欢

网友评论

  • 2021-05-10 00:05:18

    在上半场竞赛中,76人乔尔-恩比德上场17分钟12投8中,砍下20分8篮板2抢断0失误。夸你就行

随机文章
热门文章
热评文章
热门标签