리눅스 시스템을 노리는 Reptile 악성코드

Reptile은 깃허브에 오픈 소스로 공개되어 있는 리눅스 시스템 대상 커널 모듈 루트킷이다. [1] 루트킷은 자신이나 다른 악성코드를 은폐하는 기능을 갖는 악성코드로서 주로 파일 및 프로세스, 네트워크 통신이 그 은폐 대상이다. Reptile이 지원하는 은폐 기능으로는 커널 모듈 자신 외에도 파일 및 디렉터리, 파일의 내용, 프로세스, 네트워크 트래픽이 있다.

일반적으로 은폐 기능만을 제공하는 다른 루트킷 악성코드와 달리 Reptile은 리버스 쉘을 함께 제공하여 공격자가 쉽게 시스템을 제어할 수 있도록 지원한다. Reptile의 지원하는 기능들 중 가장 특징적인 것은 Port Knocking 기법이다. Port Knocking 방식은 감염 시스템에서 특정 포트를 오픈하고 대기하고 있다가 공격자가 해당 시스템에 Magic Packet을 보낼 때 전달받은 패킷을 기반으로 C&C 서버에 접속하는 방식이다.

이러한 방식은 과거 Avast의 보고서에서 언급된 Syslogk와 유사하다. [2] 물론 Syslogk가 또 다른 오픈 소스 리눅스 커널 모듈 루트킷인 Adore-Ng를 기반으로 제작되었다는 점은 차이점이라고 할 수 있다. 하지만 감염 시스템에서 대기하다가 Magic Packet을 트리거로 동작하는 방식이라든지, 공격에 함께 사용할 백도어 악성코드로서 Rekoobe 즉 커스터마이징된 TinySHell을 사용했다는 점이 Reptile이 지원하는 방식과 유사하다.

오픈 소스인 Reptile은 깃허브에서 공개된 이후 꾸준히 공격에 사용되고 있다. 예를 들어 최근 Mandiant의 보고서에서도 포티넷 제품의 제로데이를 이용해 공격 중인 중국 기반의 공격 그룹이 공격에 Reptile을 함께 사용한 사례가 확인된다. [3] 이외에도 Mélofée 악성코드를 분석한 ExaTrack의 보고서에서도 Reptile 루트킷을 확인할 수 있으며, ExaTrack은 이를 중국을 기반으로 하는 Winnti 공격 그룹의 소행으로 보고 있다. [4]

본 포스팅에서는 Reptile의 기본적인 구조와 기능들을 간략하게 분석한 후 국내 기업을 대상으로 하는 실제 공격에 사용된 사례를 정리한다. 참고로 국내 공격 사례에서는 ICMP Shell이 함께 공격에 사용되었던 것이 특징이다. 마지막으로 설치 경로 즉 악성코드의 위장 경로명을 기반으로 Mélofée 악성코드 사례와의 유사성을 정리한다.

1. Reptile 분석

1.1. Reptile의 구조

1.1.1. 공격자 시스템

Reptile은 감염 시스템에 설치될 악성코드들뿐만 아니라 공격자가 사용할 도구들도 지원한다. Listener는 인자로 Listen할 포트 및 비밀번호를 받아 동작하는 커맨드 라인 도구로서 감염 시스템에서 실행될 리버스 쉘로부터의 연결을 대기한다. Reptile은 옵션에 따라 설치 이후 직접 지정한 주소로 리버스 쉘을 동작시킬 수 있다. 이 경우 C&C 서버에서 동작하는 Listener가 이러한 연결을 받아 공격자에게 쉘을 제공한다.

공격자의 C&C 서버를 따로 지정하지 않더라도 Port Knocking 방식을 이용해 감염 시스템에 특정한 패킷을 전달함으로써 리버스 쉘을 동작시킬 수 있다. 이때 사용되는 것이 Packet이며 리버스 쉘이 연결 시도할 주소, Port Knocking 방식에서 사용할 프로토콜 등의 인자를 받아 동작하는 커맨드 라인 도구이다. Listener와 Packet을 직접 사용할 수도 있지만 인터페이스를 제공하는 Client를 이용할 수도 있다.

1.1.2. 피해 시스템

설치할 경로명을 따로 지정하지 않을 경우에는 악성코드들은 기본적으로 /reptile/ 디렉터리 경로 내에 reptile, reptile_shell, reptile_cmd 이름으로 설치된다. Reptile 루트킷을 설치하는 Loader인 reptile은 암호화된 형태로 파일 내부에 존재하는 Reptile 루트킷 커널 모듈을 복호화 및 로드하는 기능을 담당한다. 즉 Reptile 루트킷은 직접적으로 커널 모듈 형태의 파일로 존재하지 않고 Loader에 의해 복호화 과정을 거쳐 설치된다.

Reptile 루트킷에 명령을 전달하는 기능을 담당하는 reptile_cmd는 인자로 은폐 대상을 지정하고 실행하는 방식으로 루트킷과 통신한다. 리버스 쉘 악성코드 reptile_shell은 커맨드 라인 인자를 받을 수 있으며 Reptile 루트킷에 의해 실행된다.  

설치 과정에서 직접 C&C 서버로 접속을 시도하도록 옵션을 지정할 경우 /reptile/reptile_start 스크립트 파일에 명령이 지정된다. Reptile 루트킷은 커널 모듈 로드 이후 해당 스크립트 파일을 실행시키는 방식으로 리버스 쉘이 동작한다. 또는 Port Knocking 기법을 통해 주소를 전달받을 경우에도 리버스 쉘을 실행하면서 복호화된 C&C 서버 주소를 전달할 수도 있다.

1.2. Reptile 루트킷 분석

/reptile/ 디렉터리에 생성되는 reptile은 커널 모듈이 아닌 유저 모드 응용 프로그램이다. 로더는 실행되면 데이터 섹션에 가지고 있던 암호화된 커널 모듈 Reptile을 복호화한 후 init_module() 함수를 이용해 메모리 상에서 로드한다. 참고로 암호화/복호화에 사용되는 알고리즘은 이후 Magic Packet을 복호화하는데도 사용되며, 키 값은 빌드 시에 랜덤한 값을 이용해 만들기 때문에 생성된 파일마다 다른 값을 갖는다.

로드된 Reptile은 kmatryoshka라는 다른 오픈 소스를 이용해 패킹된 커널 모듈이다. [5] kmatryoshka는 리눅스 커널 모듈 기반의 패커로서 암호화된 형태로 존재하는 원본 커널 모듈을 복호화한 후 sys_init_module() 함수를 이용해 로드하는 기능을 담당한다. 즉 원본 Reptile 루트킷은 유저 모드 및 커널 모드에서 각각 패킹된 형태로 존재하는 것이다.

1.2.1. 은폐 기능 분석

Reptile은 커널 함수들에 대한 후킹을 위해 KHOOK이라는 리눅스 커널 함수 후킹 엔진을 사용한다. [6] 예를 들어 Port Knocking 방식을 사용하기 위해 ip_rcv() 커널 함수를 후킹하며 이를 통해 전달받은 패킷을 모니터링할 수 있다.

그리고 루트킷에 명령을 전달할 때는 reptile_cmd를 사용하는데 reptile_cmd는 Reptile 커널 모듈에 ioctl을 전달한다. 그리고 이러한 ioctl을 모니터링하기 위해 inet_ioctl() 커널 함수를 후킹한다. Ioctl로 전달하는 데이터 중 cmd는 명령 번호를 의미하며, 프로세스 은폐 명령처럼 PID 같은 추가 데이터를 전달해야 하는 경우에는 control 구조체의 argv 변수를 이용해 전달한다. 명령 전달 과정에서 사용되는 AUTH, HTUA는 랜덤한 값으로서 Reptile은 ioctl을 모니터링하고 있다가 매칭될 경우 상응하는 명령을 수행한다.

Reptile은 은폐 기능과 Port Knocking 기능 외에도 “root” 명령을 이용해 현재 사용자에게 root 권한을 부여하는 권한 상승 기능을 지원한다. 또한 Udev를 이용한 지속성 유지 기법도 지원하는데 /lib/udev/rules.d/ 디렉터리에 다음과 같은 Rule 파일을 생성하고 복사한 경로를 지정하여 재부팅 후에도 실행될 수 있도록 한다.

A. 파일 및 디렉터리 은폐
Reptile 루트킷은 “hide” 및 “show” 명령에 따라 파일 및 디렉터리를 은폐 또는 은폐 해제할 수 있다. 은폐 대상은 빌드 시 지정한 문자열을 포함한 경로이다. 이를 위해 fillonedir(), filldir(), filldir64()와 같은 다수의 커널 함수들을 후킹하며, 경로명에 은폐 대상 문자열이 포함되어 있을 경우에는 후킹 함수에서 “ENOENT” 즉 “no such file or directory” 에러를 반환한다.

B. 자가 은폐
“hide” 및 “show” 명령의 경우 파일 및 디렉터리 외에도 Reptile 커널 모듈 자체에 대한 은폐 기능도 지원한다. “hide” 명령을 받으면 모듈 리스트에서 현재 모듈을 제거하는 방식이다. 이에 따라 lsmod 명령으로는 현재 설치된 Reptile 커널 모듈이 보이지 않는다.

C. 프로세스 은폐
“hide” 및 “show” 명령과 함께 PID를 전달할 경우에는 해당 PID의 프로세스를 은폐한다. 프로세스 은폐에 사용되는 방식은 크게 4가지가 존재한다. 하나는 find_task_by_vpid() 함수를 후킹하여 은폐 대상 프로세스일 경우 NULL을 반환하는 것이며, 다른 하나는 유사하게 vfs_statx() 함수를 후킹하여 “EINVAL” 즉 “Invalid argument” 에러를 반환시키는 것이 있다. 참고로 find_task_by_vpid() 함수는 getsid(), getpgid()와 같은 시스템 호출에서 사용되는 함수이다.

또한 next_tgid()를 후킹하여 은폐 대상 프로세스에 대해서는 건너 뜀으로써 /proc/ 리스트에서 보이지 않게 한다. 마지막으로 sys_kill 및 __x64_sys_kill 시스템 호출에 대해서는 “ESRCH” 즉 “No such process” 에러를 반환시켜 종료가 불가능하게 한다. 이외에도 load_elf_binary() 함수를 후킹하여 reptile_shell의 경로를 가질 경우에는 해당 프로세스를 은폐한다.

D. TCP/UDP 은폐
“conn” 명령과 은폐 대상 IP 주소를 인자로 전달하면 TCP / UDP 네트워크 통신을 은폐할 수 있다. 이를 위해 tcp4_seq_show() 함수와 udp4_seq_show() 함수를 후킹한다.

E. 파일 내용 은폐
Reptile은 File Tempering 즉 파일의 내용을 은폐할 수 있는 기능을 제공한다. 아래와 같이 빌드 시 지정한 태그를 본문에 추가할 경우 이 태그 사이의 문자열들이 은폐된다. 기본 설정에서는 “#<reptile>”, “#</reptile>” 태그를 사용할 수 있다. 해당 기능을 활성화하는 명령은 “file-tampering”이며 이를 위해 vfs_read() 함수를 후킹한다.

1.2.2. Port Knocking

Reptile 루트킷은 Port Knocking 기법을 지원한다. 감염 시스템에 설치된 이후 바로 C&C 서버에 접속하는 대신 특정 포트를 오픈하고 대기하고 있다가 공격자가 해당 시스템에 Magic Packet을 보낼 때 동작하는 방식이다. Magic Packet을 통해 전달받은 데이터에는 C&C 서버의 주소가 있으며 이를 기반으로 리버스 쉘이 C&C 서버에 접속한다.

Reptile의 defconfig 파일에는 기본적인 설정들이 존재하는데 기본적으로 MAGIC_VALUE가 “hax0r”이며 PASSWORD가 “s3cr3t”, SRCPORT가 “666”이다.

감염 시스템의 Reptile 루트킷은 커널 함수를 후킹하여 TCP / UDP / ICMP 프로토콜을 통해 전달받는 패킷을 모니터링한다. TCP / UDP 패킷을 전달받을 경우 먼저 Source Port를 검사하는데, 위의 설정 파일에서 지정한 “666” 포트가 그 대상이다.

공격자는 Client를 이용해 감염 시스템에 Magic Packet을 전송할 수 있다. 이를 위해 먼저 Port Knocking 기법에서 사용할 프로토콜로서 TCP / UDP / ICMP 중에서 하나를 선택할 수 있으며 감염 시스템의 IP 주소와 위에서 Reptile 제작 시 설정한 설정 데이터인 MAGIC_VALUE, PASSWORD, SRCPORT를 지정한다. 이후 run 명령을 실행하면 Packet은 데이터를 암호화하여 감염 시스템에 전송한다.

666번 포트를 오픈하고 대기 중이던 Reptile은 해당 포트로 패킷이 수신될 경우 전달받은 패킷의 데이터에서 MAGIC_VALUE와 TOKEN으로 지정한 값인 “hax0r”가 포함되어 있는지 검사한다. 여기까지의 과정이 끝나면 패킷을 복호화하여 C&C 서버의 주소와 포트 번호를 얻은 후 해당 값을 인자로 reptile_shell 즉 리버스 쉘을 실행한다.

1.3. 리버스 쉘

Reptile 루트킷에 의해 실행된 리버스 쉘은 전달받은 주소를 기반으로 C&C 서버에 접속하여 쉘을 제공한다. 참고로 리버스 쉘은 설정 데이터에서 PASSWORD로 지정한 “s3cr3t”를 인자로 주고 실행되는데 PASSWORD는 C&C 서버에서 대기 중이던 Listener와의 통신에서 세션 키로서 사용된다.

리버스 쉘은 인자를 받아 동작하는 커맨드 라인 도구이며 조건에 따라 2가지 방식에 의해 실행될 수 있다. 첫 번째 방식은 위에서 다룬 Port Knocking 방식이며 두 번째 방식은 Reptile 루트킷 커널 모듈의 설치 과정에서 실행되는 방식이다.

Reptile 루트킷은 설치 이후 초기화 과정에서 시작 스크립트인 reptile_start 파일을 실행하게 된다. 여기에는 여러 명령이 존재할 수 있으며 대표적으로 리버스 쉘을 실행시키는 명령도 포함될 수 있다.

Reptile의 리버스 쉘은 오픈 소스 리눅스 백도어 악성코드인 TinySHell을 기반으로 한다. TinySHell을 기반으로 제작된 백도어 악성코드로는 Rekoobe가 있으며 주로 중국 공격 그룹에서 사용하고 있는 것으로 알려져 있다. [7] 참고로 Avast의 보고서에 따르면 Syslogk 루트킷도 Magic Packet을 트리거로 동작하는 Port Knocking 방식을 지원한다. 그리고 백도어로서 커스터마이징된 TinySHell 즉 Rekoobe를 사용하였다. 이러한 공통점을 보면 Syslogk 공격자가 Reptile의 구조를 차용한 것으로 추정된다.

TinySHell과 비교했을 때 Reptile의 리버스 쉘은 지원하는 명령을 포함해 대부분의 코드가 동일하다. 특히 C&C 서버와의 통신 시 HMAC SHA1 알고리즘과 AES-128 키를 이용해 통신 데이터를 암호화하는 방식이나 통신 과정 중 무결성 검증에 사용되는 데이터 또한 동일하게 사용된다.

물론 차이점도 존재하는데 파일 다운로드 / 업로드, 명령 실행 외에 딜레이 명령을 지원한다는 점이나 ioctl로 Reptile 루트킷에 은폐 명령을 전송하여 C&C 서버와의 통신을 은폐하는 기능이 기본적으로 포함되어 있는 점이 그것이다.

2. 공격 사례

2.1. VirusTotal 헌팅

Reptile은 깃허브에 공개된 오픈 소스 악성코드이다 보니 과거부터 다양한 공격자에 의해 사용되고 있다. Mandiant 사에서 최근 공개한 중국 기반 공격 그룹의 포티넷 제품 제로데이 공격 사례를 [8] 제외하더라도 VirusTotal 플랫폼을 보면 Reptile 루트킷 악성코드들이 주기적으로 업로드되고 있는 것을 확인할 수 있다.

실제 공격에서 사용되었는지는 확실하게 알 수 없지만 최근 수년간 다수의 Reptile 루트킷들이 VirusTotal에 업로드되고 있다. 여기에서는 업로드된 Reptile들 중 일부를 대상으로 각각의 설정 데이터를 추출하여 분류하였다. 커널 모듈의 vermagic을 보면 대부분 RHEL / CentOS 리눅스가 공격 또는 테스트 대상인 것이 특징이다.

2.2. 국내 공격 사례

Reptile은 과거 국내 기업을 대상으로 한 공격에서도 사용되었다. 최초 침투 방식은 확인되지 않지만 Reptile의 루트킷, 리버스 쉘, Cmd 그리고 시작 스크립트가 모두 접수되어 기본적인 설정을 확인할 수 있었다.

해당 공격 사례에서는 Reptile 외에도 ISH라고 하는 ICMP Shell이 공격에 함께 사용되었다. ISH는 ICMP 프로토콜을 이용해 공격자에 쉘을 제공할 수 있는 악성코드이다. 일반적으로 리버스 쉘이나 바인드 쉘은 TCP나 HTTP 등의 프로토콜을 이용하지만 공격자는 이러한 통신들에 대한 네트워크 탐지를 우회하기 위해 ISH를 사용한 것으로 추정된다.

2.2.1. Reptile 분석

악성코드들은 “/etc/intel_audio/” 경로에 설치되었을 것으로 추정되며, 공격자는 “reptile” 대신 “intel_audio”를 키워드로 사용하였다.

또한 intel_audio_start 파일에 리버스 쉘을 실행하는 커맨드 라인이 존재하지 않기 때문에 리버스 쉘은 Port Knocking 방식으로 사용할 것으로 추정된다. 또는 뒤에서 다룰 바인드 쉘인 ISH를 사용했을 수도 있다. 이외에도 공격자는 file-tampering 기능을 활성화하였다.

다음으로 rc.local 자동 실행 스크립트를 확인해 보면 file-tampering 기능을 통해 은폐 대상이 되는 “#<intel_audio>”, “#</intel_audio>” 태그 안에 지속성 유지를 위한 명령이 존재하는 것을 확인할 수 있다. 특이사항이 있다면 공격자는 로더 형태의 Reptile이 아닌 커널 모듈 형태의 Reptile을 사용하며, 그렇기 때문에 직접 insmod 명령을 이용해 “/etc/intel_audio/intel_audio.ko”를 로드한다.

Intel_audio.ko는 로더에 의해 패킹되기 전 단계, 즉 kmatryoshka로 패킹된 커널 모듈이다. 커널 모듈의 vermagic을 확인해 보면 “3.10.0-514.el7.x86_64” 즉 감염 대상이 레드햇 또는 CentOS 기반의 리눅스 시스템이었을 것으로 추정된다.

추출한 루트킷에는 다양한 설정 데이터들이 하드코딩되어 있다. 예를 들어 reptile_init() 함수에는 시작 스크립트 파일의 경로명 “/etc/intel_audio/intel_audio_start”이 확인된다. 공격자는 정상 프로그램으로 위장하기 위해 MAGIC_VALUE와 PASSWORD 문자열을 glibc 관련 문자열로 설정한 것이 특징이다.

2.2.2. ICMP Shell 분석

“rc.local” 자동 실행 스크립트에서 실행 및 은폐 대상이 되는 “/etc/intel_audio/gvfs-gdb-volume-monitor” 파일은 ISH라는 이름의 ICMP Shell이다. ISH는 서버 모듈 ishd와 클라이언트 모듈 ish로 이루어져 있다. “gvfs-gdb-volume-monitor” 파일은 ishd로서 Reptile 루트킷에 의해 실행되어 Listen하면서 대기하다가, 공격자가 ish를 이용해 접속할 경우 ICMP Shell을 제공했을 것으로 추정된다. “gvfs-gdb-volume-monitor”에서 확인되는 커맨드 라인 옵션도 ishd와 동일하다.

참고로 공격자는 ishd 악성코드를 생성할 때 파일 진단을 우회하고 정상 프로그램으로 위장하기 위해 소스 코드를 그대로 사용하지 않고 수정한 형태로 제작하였다. 다음 그림에서 왼쪽은 원본 ishd의 소스 코드에서 확인되는 usage() 함수이며 오른쪽은 “gvfs-gdb-volume-monitor”에서 확인되는 usage() 함수이다. 이를 통해 별다른 인자를 주지 않고 악성코드가 실행될 때 “ICMP Debug Tool”이라는 문자열을 출력하여 바인드 쉘이 아닌 정상 프로그램으로 인식되도록 유도한다.

3. Melofee와의 유사성

ExaTrack 사는 최근 리눅스 서버들을 대상으로 하는 악성코드들을 분석하여 Mélofée로 이름 붙였으며, 공격에 사용된 악성코드와 인프라를 기반으로 중국을 기반으로 하는 Winnti (APT41) 공격 그룹과의 연관성을 확인하였다. [9]

공격자는 공격 과정에서 Reptile 루트킷을 함께 사용하였는데 루트킷을 설치한 경로명이 “/etc/intel_audio/intel_audio.ko”인 것이 특징이다. 참고로 “/etc/intel_audio/intel_audio.ko” 경로명은 위에서 다룬 국내 기업을 대상으로 하는 리눅스 서버 공격 사례에서 확인된 Reptile 루트킷의 설치 경로명과 동일하다.

공격 과정에서 Reptile 루트킷이 함께 사용되었다는 점이나 설치 경로가 동일한 점 그리고 Reptile이 기본적으로 제공하는 방식 대신 insmod 명령으로 직접 커널 모듈을 설치하였다는 점이 두 공격 사례의 공통점이다.

차이점도 존재하는데 Mélofée 공격 사례에서 사용된 Reptile은 파일 은폐 기능만 활성화된 형태이며 은폐 대상 경로도 다음과 같이 ”intel_audio”, “rc.modules” 두 개로 하드코딩되어 있다.

국내 공격 사례에서는 악성코드 외에 확인할 수 있는 정보가 한정되어 있다 보니 이 이상의 연관 정보를 파악하는 데 한계가 있다. 물론 정상적인 커널 모듈을 위장하기 위해 사용한 경로명이지만 공격에 사용된 “intel_audio”라는 키워드 자체가 흔하게 사용되지는 않은 문자열이라는 점은 두 공격 사례 모두에서 특징이라고 할 수 있다.

4. 결론

Reptile은 파일 / 디렉터리 및 프로세스, 네트워크 통신에 대한 은폐 기능을 제공하는 리눅스 커널 모드 루트킷 악성코드이다. 오픈 소스이기 때문에 다양한 공격자에 의해 쉽게 사용될 수 있으며 실제 다양한 공격 사례들이 확인된다. 루트킷의 특성 상 다른 악성코드와 함께 사용되는 경우가 많지만 Reptile 자체적으로도 리버스 쉘을 함께 제공하기 때문에 Reptile이 설치된 시스템은 공격자로부터 제어를 탈취당하게 된다.

이와 같은 보안 위협을 방지하기 위해서는 취약한 환경 설정을 검사하고, 관련 시스템들을 항상 최신 버전으로 업데이트하여 공격으로부터 보호해야 한다. 또한 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.

V3 제품군에서는 해당 악성코드들에 대해 다음과 같은 진단명으로 탐지하고 있다.

파일 진단
– Trojan/Script.Config (2023.07.20.03)
– Rootkit/Linux.Reptile.644496 (2020.05.31.00)
– Trojan/Linux.Reptile.10416 (2020.05.31.00)
– Trojan/Linux.Rvshell.55784 (2020.05.31.00)
– Backdoor/Linux.Ishell.10576 (2020.05.31.00)
– Rootkit/Linux.Reptile.560980 (2023.07.18.00)
– Rootkit/Linux.Reptile.802168 (2023.07.18.00)
– Rootkit/Linux.Reptile.799432 (2023.07.18.00)
– Rootkit/Linux.Reptile.569740 (2023.07.18.00)

IOC
MD5
– 1957e405e7326bd2c91d20da1599d18e : 시작 스크립트 (intel_audio_start)
– d1abb8c012cc8864dcc109b5a15003ac : Reptile Rootkit (intel_audio.ko)
– f8247453077dd6c5c1471edd01733d7f : Reptile Cmd (intel_audio_cmd)
– cb61b3624885deed6b2181b15db86f4d : Reptile Reverse Shell (intel_audio_reverse)
– c3c332627e68ce7673ca6f0d273b282e : ICMP Shell (gvfs-gdb-volume-monitor)
– 246c5bec21c0a87657786d5d9b53fe38 : Reptile 루트킷 (rxp.ko)
– bb2a0bac5451f8acb229d17c97891eaf : Reptile 루트킷 (falc0n.ko)
– 977bb7fa58e6dfe80f4bea1a04900276 : Reptile 루트킷 (N/A)
– 5b788feef374bbac8a572adaf1da3d38 : Reptile 루트킷 (myshell.ko)

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.