韩国针对Linux系统的Rekoobe后门攻击分析

Rekoobe 是一个已知被总部位于中国的威胁组织 APT31 使用的后门。AhnLab 安全应急响应中心 (ASEC) 多年来一直收到来自韩国租户的 Rekoobe 恶意软件报告，特此分享其简要分析。此外，Rekoobe 变体将与针对韩国公司的变体摘要一起进行分类。

1.概述

Rekoobe 是一个针对 Linux 环境的后门。它于 2015 年首次被发现，2018 年就有一个案例，其更新版本被用于攻击。基于其支持的架构（x86、x64 和 SPARC），ELF 格式的 Rekoobe 主要针对 Linux 服务器。

据了解，Rekoobe 是基于开源程序 Tiny SHell 的源代码创建的，该程序在 GitHub 上公开提供，正如“Tiny”名称所暗示的那样，它支持基本功能。除了进程名称更改等附属功能外，它只有三个其他功能。它可以从 C&C 服务器下载、上传和执行命令。由于其开源基础，对 Rekoobe 和类似变体进行分类可能具有挑战性，但本文将分析众所周知的 Rekoobe 变体。

关于威胁行为者如何在 Linux 系统上安装 Rekoobe 及其特定目标的信息有限。然而，Rekoobe 因中国威胁组织 APT31 使用的恶意软件而闻名。

一般来说，针对 Linux 服务器的恶意软件主要针对管理不善的服务器或因未更新到最新版本而容易受到攻击的服务器。值得注意的是，目前还没有确认威胁行为者使用 Rekoobe 对多台 Linux 服务器进行扫描和发起暴力攻击的案例。

因此，人们怀疑主要由于不执行定期更新或配置不佳而容易受到攻击的 Linux 服务器可能会成为目标，而不是帐户凭据较弱的系统。此外，据报道，供应链攻击的案例中，威胁行为者瞄准了流行的 WordPress 插件并安装了 Rekoobe，以获取对受感染系统的控制权。 

2.Rekoobe分析

在这里，我们将分析韩国报告的 Rekoobe 恶意软件样本之一。

MD5：8921942fb40a4d417700cfe37cce1ce7C&C 服务器：resolv.ctmailer[.]net:80 (103.140.186.32)下载地址：hxxp://103.140.186[.]32/mails

Rekoobe 通过将其进程名称更改为“/bin/bash”来伪装自己，这与普通进程的名称相匹配。这使得用户很难检测到它的存在。这是通过使用 strcpy() 函数更改执行程序时给出的参数来实现的。此外，原始 Tiny SHell 代码库中不存在此特定功能。