小編的世界 優質文選 主機
字體大小:
2020年11月07日 -
:
SegmentFault思否
網絡欺詐是不法分子一種快速賺錢的方式,現在有黑客開始利用社交媒體入侵 VoIP 服務器,獲得數十萬美元利潤的同時還對目標企業的電話進行著竊聽。
網絡安全研究人員破獲了一起加沙、約旦河西岸和埃及黑客領導的國際網絡欺詐案件,這些黑客在過去的 12 個月裏,入侵了 60 多個國家 1200 多個組織的 VoIP 服務器。
針對開源用戶界面,獲利數十萬美元
根據 Check Point Research 發布的調查結果,這些黑客針對的是一種開源用戶界面 Sangoma PBX, Sangoma PBX 用於管理和控制 Asterisk VoIP 電話系統,特別是會話發起協議(SIP)服務器。
這家網絡安全公司在其分析中指出:“黑客可以控制 SIP 服務器濫用各種功能,撥打欺詐電話獲利。”令網絡安全研究人員頭疼的是,撥打電話是一項合法功能,因此他們很難檢測到黑客何時利用了服務器。
除了撥打電話,黑客還會通過向出價最高的公司出售電話號碼、通話計劃和實時獲取受到破壞的 VoIP 服務。目前,這些黑客已經通過這些方式獲得了數十萬美元的利潤。
利用遠程管理員身份繞過驗證
PBX 是專用分支交換機的簡稱,是一種交換系統,用於在電信端點之間建立和控制電話呼叫,例如通常的電話機、公共交換電話網上的目的地(PSTN)和互聯網協議(VoIP)網絡上的設備或服務。
Check Point Research 發現,該攻擊利用了 CVE-2019-19006(CVSS score 9.8),這一嚴重漏洞,影響了 FreePBX 和 PBXact 的管理員 Web 界面,可能允許未經授權的用戶通過向受影響的服務器發送特制的數據包來獲得對系統的管理訪問。遠程管理員身份驗證繞過漏洞影響 FreePBX 15.0.16.26 及以下版本,14.0.13.11 及以下版本,13.0.197.13 及以下版本,並在 2019 年 11 月由 Sangoma 修複。
研究人員指出,這種攻擊始於 SIPVicious,一種流行的工具套件,用於審核基 於SIP 的 VoIP 系統。攻擊者使用 svmapmodule 掃描互聯網,尋找運行易受攻擊的 FreePBX 版本的 SIP 系統,一旦發現目標,攻擊者就會利用 CVE-2019-19006 獲得對系統的管理訪問權限。
在一個攻擊流程中,研究人員發現一個初始的 PHP Web Shell 被用來獲取 FreePBX 系統的數據庫和不同 SIP 擴展名的密碼,從而使攻擊者可以不受限制地訪問整個系統,並且可以從每個擴展名進行呼叫。
在第二個版本的攻擊中,最初的 Web Shell 被用於下載 base64 編碼的 PHP 文件,然後將其解碼以啟動 Web 界面,該平台可使用具有 FreePBX 和 Elastix 支持的受損系統進行調用,並運行任意和硬編碼的命令。
該攻擊依賴 Pastebin 下載受密碼保護的 Web Shell,因此將這次攻擊與一個名為“ INJ3CTOR3”的上傳程序聯系起來,該上傳程序的名字與一個老的 SIP 遠程代碼執行漏洞(CVE-2014-7235)以及一些用於共享 SIP 服務器漏洞的 Facebook 私人群組相關聯。
黑客如何在國際網絡欺詐中賺錢?
Check Point研究人員認為,被黑客攻擊的 VoIP 服務器可能被黑客利用,在他們的控制下撥打國際高級費率號碼(IPRN)。IPRN 是企業使用的專門號碼,用於提供電話購物和其他服務,比如讓來電者等待,以獲取更高的費用。
這筆費用通常會轉嫁給撥打這些國際高級費率號碼的客戶,從而使其成為可以濫用的系統。因此,IPRN 的所有者接到的電話越多,客戶等待完成交易的時間越長,它向電信運營商和客戶收取的費用就越多。
研究人員說:“使用 IPRN 程序不僅允許黑客打電話,而且還可以濫用 SIP 服務器來獲取利潤。被利用的服務器越多,可以向 IPRN 發出的呼叫就越多。”
這已經不是交換系統第一次被用於國際稅收分成欺詐(IRSF),這種行為是非法進入運營商的網絡,以便向從 IPRN 提供商獲得的電話號碼誇大流量。
早在今年 9 月,ESET 研究人員就發現了名為“CDRThief”的 Linux 惡意軟件,該惡意軟件以 VoIP 軟交換為目標,企圖竊取電話通話元數據並實施 IRSF 計劃。
Check Point 網絡網絡安全研究主管 Adi Ikan 表示:“我們的研究表明,我們的研究揭示了加沙和約旦河西岸的黑客如何在巴勒斯坦地區惡劣的社會經濟條件下賺錢。”
對 Asterisk 服務器的攻擊是十分罕見的,因為黑客的目標不僅是出售對受損系統的訪問權,而且還利用系統的基礎設施來賺錢。IPRN 的概念允許在打電話和賺錢之間建立直接聯系。
技術編輯:芒果果丨發自 思否編輯部
公眾號:SegmentFault