Reptile Rootkit 使用端口敲门

网络威胁攻击者已将注意力转向韩国的 Linux 系统，部署了名为 Reptile 的开源 Rootkit。 Reptile 与传统 Rootkit 恶意软件的区别在于其先进的功能。除了隐藏其存在之外，Reptile 还提供反向 shell 功能，为攻击者提供了控制受感染系统的直接方法。这一启示是由 AhnLab 安全应急响应中心 (ASEC) 提供的，该中心最近发布了一份报告。

Reptile 的作案手法涉及一种有趣的技术，称为“端口敲门”。在这里，恶意软件会触发受感染系统上的特定端口打开，从而有效地使系统处于待机状态。当威胁行为者向受感染的主机发送特制的“魔法数据包”时，该数据包将作为触发器与命令和控制 (C&C) 服务器建立连接。

Reptile 显示与 Pupy RAT 的可能链接

从本质上讲，rootkit 是一种故意设计的恶意程序，旨在确保对计算机系统的高级访问，同时保持其秘密存在。自 2022 年以来，Reptile 已被用于至少四项不同的活动。趋势科技于 2022 年 5 月发现了它的首次亮相，当时它与 Earth Berberoka 入侵集有关，用于模糊与 Pupy RAT 木马相关的连接和进程。后者被用于攻击中国的赌博网站。

快进到 2023 年 3 月，谷歌旗下的 Mandiant 曝光了由 UNC3886 精心策划的一系列攻击，该组织是一个疑似与中国有关的威胁组织。这些攻击者利用 Fortinet 设备中的零日漏洞来分发各种自定义植入程序，包括 Reptile。

据 ExaTrack 称，同月的另一个实例凸显了中国黑客组织使用基于 Reptile 的恶意软件 Mélofée 的情况。最后，微软于 2023 年 6 月标记的加密劫持操作使用爬行动物下载 shell 脚本后门来掩盖其活动。

对 Reptile 机制的深入分析揭示了存在一个加载程序，该加载程序利用名为“kmatryoshka”的工具来解密 rootkit 的内核模块并将其加载到系统内存中。加载后，rootkit 会打开指定端口并等待攻击者传输魔术数据包，这种技术让人想起另一个名为 Syslogk 的 rootkit，该技术由 Avast 去年记录。

此外，这家韩国网络安全公司指出，他们在该国发现了一起涉及 Reptile 的攻击案件。有趣的是，这一事件与 Mélofée 攻击在战术上有相似之处，暗示网络威胁行为者及其方法之间存在潜在联系。