리눅스 시스템을 노리는 Reptile 악성코드 - ASEC

Impotant:
5b788feef374bbac8a572adaf1da3d38
d1abb8c012cc8864dcc109b5a15003ac
977bb7fa58e6dfe80f4bea1a04900276
c3c332627e68ce7673ca6f0d273b282e
246c5bec21c0a87657786d5d9b53fe38
1957e405e7326bd2c91d20da1599d18e
cb61b3624885deed6b2181b15db86f4d
f8247453077dd6c5c1471edd01733d7f
bb2a0bac5451f8acb229d17c97891eaf

요약:
Reptile은 깃허브에 오픈소스로 공개된 리눅스 시스템 대상 커널 모듈 루트킷으로, 은폐 기능과 함께 리버스 쉘을 제공하여 공격자가 시스템을 제어할 수 있게 해주는 특징이 있다. 또한 Port Knocking 방식을 지원하고, Syslogk와 유사한 Magic Packet을 트리거로 동작하는 방식과 Rekoobe인 커스터마이징된 TinySHell을 사용한다. Reptile은 깃허브에 오픈소스로 공개된 리눅스 시스템 대상 커널 모듈 루트킷이며, 은폐 기능과 리버스 쉘을 제공하여 공격자가 시스템을 제어할 수 있게 해주는 특징이 있다. 또한 Port Knocking 방식과 Syslogk와 유사한 Magic Packet을 트리거로 동작하는 방식과 Rekoobe인 커스터마이징된 TinySHell을 사용한다.

내용:
Reptile은 깃허브에 오픈 소스로 공개되어 있는 리눅스 시스템 대상 커널 모듈 루트킷이다. [1] 루트킷은 자신이나 다른 악성코드를 은폐하는 기능을 갖는 악성코드로서 주로 파일 및 프로세스, 네트워크 통신이 그 은폐 대상이다. Reptile이 지원하는 은폐 기능으로는 커널 모듈 자신 외에도 파일 및 디렉터리, 파일의 내용, 프로세스, 네트워크 트래픽이 있다.
일반적으로 은폐 기능만을 제공하는 다른 루트킷 악성코드와 달리 Reptile은 리버스 쉘을 함께 제공하여 공격자가 쉽게 시스템을 제어할 수 있도록 지원한다. Reptile의 지원하는 기능들 중 가장 특징적인 것은 Port Knocking 기법이다. Port Knocking 방식은 감염 시스템에서 특정 포트를 오픈하고 대기하고 있다가 공격자가 해당 시스템에 Magic Packet을 보낼 때 전달받은 패킷을 기반으로 C&C 서버에 접속하는 방식이다.
이러한 방식은 과거 Avast의 보고서에서 언급된 Syslogk와 유사하다. [2] 물론 Syslogk가 또 다른 오픈 소스 리눅스 커널 모듈 루트킷인 Adore-Ng를 기반으로 제작되었다는 점은 차이점이라고 할 수 있다. 하지만 감염 시스템에서 대기하다가 Magic Packet을 트리거로 동작하는 방식이라든지, 공격에 함께 사용할 백도어 악성코드로서 Rekoobe 즉 커스터마이징된 TinySHell을 사용했다는 점이 Reptile이 지원하는 방식과 유사하다.
오픈 소스인 Reptile은 깃허브에서 공개된 이후 꾸준히 공격에 사용되고 있다. 예를 들어 최근 Mandiant의 보고서에서도 포티넷 제품의 제로데이를 이용해 공격 중인 중국 기반의 공격 그룹이 공격에 Reptile을 함께 사용한 사례가 확인된다. [3] 이외에도 Mélofée 악성코드를 분석한 ExaTrack의 보고서에서도 Reptile 루트킷을 확인할 수 있으며, ExaTrack은 이를 중국을 기반으로 하는 Winnti 공격 그룹의 소행으로 보고 있다. [4]
본 포스.....

Open New Windows

리눅스 시스템을 노리는 Reptile 악성코드 - ASEC BLOG:
https://asec.ahnlab.com/ko/55379/