Rekoobe, öncelikle Linux ortamlarını hedefleyen kötü şöhretli bir arka kapıdır ve esas olarak Çinli bir tehdit grubu olan APT31 olmak üzere tehdit aktörleri tarafından aktif olarak kullanılır.
Bu kötü şöhretli arka kapı ilk kez 2015’te keşfedilirken, 2018’de tehdit aktörleri tarafından çeşitli saldırılarda istismar edilen güncellenmiş bir versiyonu yeniden ortaya çıktı.
AhnLab Güvenlik Acil Durum Müdahale Merkezi (ASEC) kısa süre önce savunmasız Linux ortamlarını aktif olarak hedefleyen birkaç Rekoobe varyantını belirledi ve analiz etti.
Bunun dışında, ELF biçimindeki Rekoobe, öncelikle aşağıdaki desteklenen mimarilere dayalı olarak Linux sunucularını hedefler: –
Rekoobe Backdoor Linux Sistemlerine Saldıracak
Rekoobe, GitHub’da bulunan kaynak kodunu kullanan açık kaynak programı Tiny SHell’den türetilmiştir ve yalnızca temel ve temel özellikler sunar.
İşlem adını değiştirmenin yanı sıra, ayrıca üç ek özelliğe sahiptir ve burada bunlar aşağıda belirtilmiştir:-
- indiriliyor
- yükleniyor
- C&C sunucu komutlarını yürütme
Rekoobe ve benzeri varyantları düzenlemek, açık kaynak kökleri nedeniyle oldukça zordur.
Rekoobe’nin kurulum yöntemleri ve belirli Linux sistem hedefleri hakkındaki ayrıntılar sınırlı kalmaktadır. Linux sunucu hedefli kötü amaçlı yazılım, gözetimsiz veya güncelliğini yitirmiş sunucuları besler.
Özellikle, Rekoobe’nin çok sayıda Linux sunucusunda kaba kuvvet saldırıları gerçekleştirmek için onu istismar eden kanıtlanmış bir tehdit aktörü örneği yoktur.
Zayıf hesap kimlik bilgilerine sahip sistemleri hedeflemek yerine, öncelikle düzenli güncellemeleri olmayan veya kötü yapılandırmalara sahip Linux sunucularını hedefler.
Aşağıda, Kore’de bildirilen Rekoobe kötü amaçlı yazılım örneklerinden birinin analiz raporundan bahsetmiştik: –
- MD5: 8921942fb40a4d417700cfe37cce1ce7
- C&C Sunucusu: resolv.ctmailer[.]net:80 (103.140.186.32)
- İndirme URL’si: hxxp://103.140.186[.]32/postalar
Rekoobe, kimliğini gizlemek için meşru bir süreci taklit ederek “/bin/bash” kılığına girer ve bu nedenle kullanıcıların bunu algılaması zorlaşır.
Uygulama, Tiny SHell’in orijinal kod tabanında bulunmayan benzersiz bir özellik olan strcpy() işlevi aracılığıyla program bağımsız değişkenlerinin manipüle edilmesini içerir.
C&C sunucu adresi veya parola girişi için komut satırı seçeneklerinin olmaması, Rekoobe’u Tiny SHell’den ayırır. Bu seçenekler eksik olduğundan, kötü amaçlı yazılımdaki C&C sunucu adresi sabit kodlanmıştır.
AES-128 anahtar üretimi için Tiny SHell ve Rekoobe, anahtar iletişim verilerini şifrelediğinden, C&C sunucusuyla güvenli iletişim sağlayan HMAC SHA1 algoritmasından yararlanır.
Başlangıçta, bu Rekoobe varyantı, sabit kodlu bir C&C sunucusuna bağlantı kurar. Bununla birlikte, diğer varyasyonlar, bağlantı noktalarını açan ve C&C sunucusunun bağlanmasını bekleyen bir bağlama kabuğu biçimini benimser. Burada Tiny Shell, mümkün olduğu için her iki yöntemi de destekler.
Rekoobe’nin sahip olduğu, her bir kötü amaçlı yazılım örneğini bireysel saldırılar için tehdit aktörü tarafından belirlenen bir parola ile oluşturan ayrı bir oluşturma aracı olduğuna inanılıyor.
Kore’ye Karşı Kullanılan Rekoobe Kötü Amaçlı Yazılım Örnekleri
Aşağıda, x64 mimarisine dayanan ve tehdit aktörleri tarafından Kore’ye karşı kullanılan tüm Rekoobe kötü amaçlı yazılım örneklerinden bahsetmiştik:-
- java
- rmicd(123)
- postalar
- hizmet
öneriler
Aşağıda, AhnLab’daki güvenlik uzmanları tarafından sunulan tüm önerilerden bahsetmiştik:-
- Güvenlik açığı bulunan yapılandırma ayarlarını incelediğinizden emin olun.
- Kimlik doğrulama bilgilerinin uygun şekilde doğrulanmasını sağlayın.
- Sistemleri her zaman en son yama ve güncellemelerle güncel tutun.
- Kötü amaçlı yazılım bulaşmalarına karşı koruma sağlamak için V3’ün en son sürümünün kurulu olduğundan emin olun.
“Yapay zeka tabanlı e-posta güvenlik önlemleri İşletmenizi E-posta Tehditlerinden Koruyun!” – Ücretsiz Demo İsteyin.