Reptile Rootkit 使用端口敲門

網絡威脅攻擊者已將注意力轉向韓國的 Linux 系統，部署了名為 Reptile 的開源 Rootkit。 Reptile 與傳統 Rootkit 惡意軟件的區別在於其先進的功能。除了隱藏其存在之外，Reptile 還提供反向 shell 功能，為攻擊者提供了控制受感染系統的直接方法。這一啟示是由 AhnLab 安全應急響應中心 (ASEC) 提供的，該中心最近發布了一份報告。

Reptile 的作案手法涉及一種有趣的技術，稱為“端口敲門”。在這裡，惡意軟件會觸發受感染系統上的特定端口打開，從而有效地使系統處於待機狀態。當威脅行為者向受感染的主機發送特製的“魔法數據包”時，該數據包將作為觸發器與命令和控制 (C&C) 服務器建立連接。

Reptile 顯示與 Pupy RAT 的可能鏈接

從本質上講，rootkit 是一種故意設計的惡意程序，旨在確保對計算機系統的高級訪問，同時保持其秘密存在。自 2022 年以來，Reptile 已被用於至少四項不同的活動。趨勢科技於 2022 年 5 月發現了它的首次亮相，當時它與 Earth Berberoka 入侵集有關，用於模糊與 Pupy RAT 木馬相關的連接和進程。後者被用於攻擊中國的賭博網站。

快進到 2023 年 3 月，谷歌旗下的 Mandiant 曝光了由 UNC3886 精心策劃的一系列攻擊，該組織是一個疑似與中國有關的威脅組織。這些攻擊者利用 Fortinet 設備中的零日漏洞來分發各種自定義植入程序，包括 Reptile。

據 ExaTrack 稱，同月的另一個實例凸顯了中國黑客組織使用基於 Reptile 的惡意軟件 Mélofée 的情況。最後，微軟於 2023 年 6 月標記的加密劫持操作使用爬行動物下載 shell 腳本後門來掩蓋其活動。

對 Reptile 機制的深入分析揭示了存在一個加載程序，該加載程序利用名為“kmatryoshka”的工具來解密 rootkit 的內核模塊並將其加載到系統內存中。加載後，rootkit 會打開指定端口並等待攻擊者傳輸魔術數據包，這種技術讓人想起另一個名為 Syslogk 的 rootkit，該技術由 Avast 去年記錄。

此外，這家韓國網絡安全公司指出，他們在該國發現了一起涉及 Reptile 的攻擊案件。有趣的是，這一事件與 Mélofée 攻擊在戰術上有相似之處，暗示網絡威脅行為者及其方法之間存在潛在聯繫。