Rekoobe, Çinli APT31 tarafından kullanıldığı bilinen savunmasız Linux sunucularını hedefleyen bir arka kapı kötü amaçlı yazılımıdır.
2015’ten beri aktiftir ve 2018’de mimarisi x86, x64 ve SPARC olduğu için Linux sunucularını hedeflemek için Rekoobe’nin güncellenmiş sürümleri kullanılmıştır.
Acil Müdahale Merkezi (ASEC), son makalesinde çeşitli Rekoobe türevlerini paylaşıyor ve yerli şirketleri hedef alan saldırılarda kullanılan Rekoobe kötü amaçlı yazılımlarını organize ediyor.
Çoğunlukla eski Linux sunucularını hedefler veya uygun olmayan ayarlarla hizmet verir ve ayrıca tedarik zinciri saldırılarına karışır.
Rekoobe değişkeninin analizi:
- MD5: 8921942fb40a4d417700cfe37cce1ce7
- C&C sunucusu: resolv.ctmailer[.]net:80 (103.140.186.32)
- İndirme adresi: hxxp://103.140.186[.]32/postalar
Açık kaynak kodu Tiny Shell tarafından oluşturulan Rekoobe, programı çalıştırırken kullanıcıların tanınmasını zorlaştırmak için işlem adını değiştirmek için strcpy() işlevini kullanır.
C&C sunucusunun adresini veya şifresini almak için herhangi bir komut satırı seçeneği yoktur.
Rekoobe, HMAC SHA1 algoritmasını kullanarak bir AES-128 anahtarı oluşturur ve anahtarı kullanarak C&C sunucusuyla iletişim verilerini şifreler.
Başlangıçta C&C sunucusundan 0x28 boyutundaki veriler alınır, ardından iki 0x14 bayta bölünür ve HMAC SHA1 içeriği başlatılırken IV olarak kullanılır.
Başlatma sürecinde, sabit kodlu bir parola dizesi “0p;/9ol.” alınan her biri 0x14 bayt olan IV’e ek olarak da kullanılır.
Oluşturulan HMAC SHA1 değerleri, C&C sunucusuna veri aktarılırken sırasıyla C&C sunucusundan alınan verileri şifrelemek ve şifresini çözmek için kullanılan AES-128 anahtarlarıdır.
Ek olarak, 0x10 baytlık bütünlük doğrulaması için veriler, yukarıda ayarlanan AES-128 anahtarıyla ve XOR işlemiyle kodu çözülen C&C’den alınır.
Bundan sonra teslim edilecek veri bütünlük doğrulaması için kullanılır ve 0x10 bayt boyutundadır ve aynı değere sahip olmalıdır.
Bütünlük doğrulama işlemi bittiğinde, 0x10 baytlık aynı bütünlük verileri C&C sunucusuna iletilir. Veri gönderirken yukarıda oluşturulan HMAC SHA1 değeri ile oluşturulan AES128 anahtarı kullanılarak şifrelenir ve iletilir.
Son olarak, dosya yükleme, dosya indirme ve ters kabuk için bir baytlık basit komutlar yürütülür.
Başka bir Rekoobe örneği, bağlantı kabuğu biçiminde bir bağlantı noktası açar ve C&C sunucusunun bağlantısını bekler. Bunun nedeni, Tiny SHell’in her ikisini de desteklemesidir.
Rekoobe’nin ayrı bir inşaatçısı olduğu varsayılıyor. Rastgele bir şifre dizisi kullanılmasına rağmen, varsayılan dizge gibi görünen “şifrenizle değiştirin” sıklıkla görülmektedir.
Saldırgan, her saldırı için farklı kötü amaçlı kod kullanır. Her seferinde farklı bir dizinin kullanıldığı şifrelerin aksine, bütünlük doğrulaması için kullanılan veriler, kaynak kodunun çoğu için “58 90 AE 86 F1 B9 1C F6 29 83 95 71 1D DE 58 0D” kullanılmasıyla karakterize edilir. .
Açık kaynağa dayanan Rekoobe, Çin’in tanınmış saldırı grubu APT31’in yanı sıra diğer saldırganlar tarafından da kullanılabiliyor ve yerli sistemlere yönelik saldırı vakaları artıyor.
Bu tür güvenlik tehditlerini önlemek için, ilgili sistemleri saldırılardan korumak için her zaman en son sürümlere güncelleyin.
uzlaşma göstergesi
– 7851833a0cc3482993aac2692ff41635
– 03a87253a8fac6d91d19ea3b47e2ca6c
– 5f2e72ff741c4544f66fec16101aeaf0
– 8921942fb40a4d417700cfe37 cce1ce7
“Yapay zeka tabanlı e-posta güvenlik önlemleri İşletmenizi E-posta Tehditlerinden Koruyun!” – Ücretsiz Demo İsteyin.