Reptile Rootkit IOCs

security IOC
Опубликовано

Reptile - это руткит с открытым исходным кодом модуля ядра, предназначенный для Linux-систем и находящийся в открытом доступе на GitHub.

Руткиты - это вредоносные программы, обладающие способностью скрывать себя или другие вредоносные программы. В первую очередь для маскировки они используют файлы, процессы и сетевые коммуникации. Возможности Reptile по сокрытию включают не только собственный модуль ядра, но и файлы, каталоги, содержимое файлов, процессы и сетевой трафик.

Reptile Rootkit

В отличие от других руткитов, которые обычно обеспечивают только маскировку, Reptile идет дальше, предлагая обратную оболочку, что позволяет угрозам легко брать системы под контроль. Наиболее примечательной из поддерживаемых Reptile функций является Port Knocking. Port Knocking - это метод, при котором вредоносная программа открывает определенный порт на зараженной системе и переходит в режим ожидания. Когда агент угрозы посылает в систему Magic Packet, полученный пакет используется в качестве основы для установления соединения с C&C-сервером.

Этот метод схож с методом Syslogk, который упоминался в предыдущем отчете компании Avast. Ключевым отличием является то, что Syslogk был разработан на основе другого руткита с открытым исходным кодом для ядра Linux под названием Adore-Ng. Однако между Syslogk и функциями, поддерживаемыми Reptile, есть сходство, например, нахождение в режиме ожидания в зараженной системе до срабатывания Magic Packet и использование адаптированного TinySHell, известного как Rekoobe, в качестве бэкдора для своей атаки.

После того как Reptile стал доступен на GitHub с открытым исходным кодом, он стал постоянно использоваться в атаках. Например, недавний отчет компании Mandiant подтвердил, что группа угроз, базирующаяся в Китае, использовала Reptile в своей атаке с использованием уязвимости нулевого дня в продуктах Fortinet.  Кроме того, в отчете компании ExaTrack, посвященном анализу вредоносной программы Mélofée, также был обнаружен руткит Reptile. ExaTrack связывает это с деятельностью китайской атакующей группы Winnti.

Indicators of Compromise

MD5

  • 1957e405e7326bd2c91d20da1599d18e
  • 246c5bec21c0a87657786d5d9b53fe38
  • 5b788feef374bbac8a572adaf1da3d38
  • 977bb7fa58e6dfe80f4bea1a04900276
  • bb2a0bac5451f8acb229d17c97891eaf
  • c3c332627e68ce7673ca6f0d273b282e
  • cb61b3624885deed6b2181b15db86f4d
  • d1abb8c012cc8864dcc109b5a15003ac
  • f8247453077dd6c5c1471edd01733d7f
Похожие записи:
  1. BitRAT Trojan IOC
  2. Lazarus APT IOCs - Part 2
  3. Syslogk Rootkit IOCs
  4. CosmicStrand Rootkit IOCs
  5. FARGO Ransomware IOCs
ASEC Reptile Rootkit
SEC-1275-1
Добавить комментарий