賽門鐵克揭示用于秘密監(jiān)視的間諜工具Regin
責編:admin |2014-12-01 19:45:24Regin是一款先進的間諜軟件,具有罕見的技術(shù)能力,被用于監(jiān)視政府機關(guān)、基礎(chǔ)設(shè)施運營商、企業(yè)、研究機構(gòu)甚至針對個人的間諜活動中
自2008年起,一款名為Regin的先進惡意軟件就已經(jīng)被用于針對許多跨國目標的系統(tǒng)性間諜活動中。Regin是一款復雜的后門木馬惡意軟件,其結(jié)構(gòu)設(shè)計具有罕見的技術(shù)能力。根據(jù)攻擊目標,Regin具有高度可定制化功能,能夠使攻擊者通過強大的框架進行大規(guī)模監(jiān)視,并且已經(jīng)被用于監(jiān)視政府機關(guān)、基礎(chǔ)設(shè)施運營商、企業(yè)、研究機構(gòu)甚至針對個人的間諜活動中。
Regin的開發(fā)者投入了大量的心思來隱匿其行蹤,這款惡意軟件的開發(fā)時間就算不耗費數(shù)年,也可能耗費數(shù)月時間來完成。Regin強大的功能和其背后支撐的強大資源說明,這是一款國家級使用的重要網(wǎng)絡(luò)間諜工具。
賽門鐵克最新發(fā)布的一份技術(shù)白皮書提到,Backdoor.Regin具有多個階段,除第一階段外,其他各級階段都非常隱蔽并經(jīng)過了加密處理。執(zhí)行第一階段會啟動一連串類似多米諾骨牌效應(yīng)的解密作業(yè),并加載后續(xù)階段。Regin總共五個階段,每個階段僅提供非常有限的關(guān)于完整程序包的信息。只有截獲全部五個階段的數(shù)據(jù),才能分析和理解它的具體威脅。
Regin使用模塊化方法,可針對攻擊目標加載定制功能。這種模塊化方法也被用于其他復雜惡意軟件系列,例如Flamer和Weevil(即“面具”),而多階段加載架構(gòu)類似于 Duqu/Stuxnet 威脅系列。
時間進程和攻擊目標概述
在2008年至2011年間,賽門鐵克觀察到Regin已經(jīng)感染了多個組織機構(gòu),而在此之后,它卻突然銷聲匿跡。從2013年起,該惡意軟件的新版本再次浮出水面,攻擊目標包括私營企業(yè)、政府機關(guān)和研究機構(gòu)。近半數(shù)的感染是以個人和小型企業(yè)為目標。針對電信公司的攻擊,也意在通過訪問其基礎(chǔ)設(shè)施獲取通話內(nèi)容。
感染事件所發(fā)生的地區(qū)分布廣泛,已確定的感染區(qū)域主要來自十個國家地區(qū)。
感染媒介和有效負載
感染媒介因攻擊目標而異,截至本文撰寫時,尚未發(fā)現(xiàn)可復制媒介 (reproducible vector)。賽門鐵克認為,某些目標受害者可能被誘騙訪問假冒的知名網(wǎng)站,該惡意軟件可能通過網(wǎng)絡(luò)瀏覽器或應(yīng)用漏洞安裝入侵。
據(jù)某臺電腦上的日志文件顯示,Regin通過未經(jīng)證實的方式,由Yahoo! Instant Messenger入侵電腦。
Regin使用模塊化方法,威脅操控者可靈活地根據(jù)需要,對單個目標加載定制功能。某些定制的有效負載極為先進,顯現(xiàn)出極高的專業(yè)領(lǐng)域知識,進一步證明了Regin開發(fā)者能夠調(diào)配大量資源。
Regin的有效負載具有幾十種之多。該惡意軟件的標準功能包括多種遠程訪問木馬(Remote Access Trojan,RAT)功能,例如,捕捉屏幕截圖、控制鼠標的點擊功能、竊取密碼、監(jiān)控網(wǎng)絡(luò)流量和恢復刪除文件等。
目前發(fā)現(xiàn)了更多特定且先進的有效負載模塊,例如Microsoft IIS網(wǎng)絡(luò)服務(wù)器流量監(jiān)測器,以及手機基站控制器管理的流量嗅探器。
隱秘性
Regin的開發(fā)者花費了大量精力來確保它的隱秘性。其極難被發(fā)現(xiàn)的低調(diào)特性,使它可能在過去的數(shù)年里被應(yīng)用于各種間諜活動中。即使被檢測出來,也很難確定它具體從事何種活動。賽門鐵克只能在破解樣本文件后,才能分析其有效負載。
Regin具有多種“隱秘”功能,包括反取證功能、定制的加密虛擬文件系統(tǒng) (EVFS) ,以及非常用的以RC5變種形式呈現(xiàn)出來的替代加密方式。Regin使用多種先進復雜的方法與攻擊者秘密溝通,包括通過ICMP/ping,在HTTP cookies中嵌入命令,以及采用定制TCP和UDP協(xié)議實現(xiàn)通信目的。
結(jié)論
Regin是一款高度復雜的惡意軟件,被用于系統(tǒng)性的數(shù)據(jù)收集或情報收集活動。它的開發(fā)和運作需要投入大量時間和資源,這表明該惡意軟件可能是由某國家作為背后支持。復雜的設(shè)計使它非常適合對目標進行長期的監(jiān)視活動。
對Regin的發(fā)現(xiàn)表明,用于情報收集工具的持續(xù)投資如此之大。賽門鐵克認為,Regin的許多組件尚未被發(fā)現(xiàn),并且很可能存在其他的功能和不同版本。賽門鐵克將持續(xù)進行深入分析,并及時發(fā)布任何最新發(fā)現(xiàn)。
- 信通院發(fā)布“2025智能體十大關(guān)鍵詞”
- 1Panel agent遠程命令執(zhí)行漏洞 (CVE-2025-54424) 安全風險通告
- 工信部等八部門印發(fā)《機械工業(yè)數(shù)字化轉(zhuǎn)型實施方案》
- 8月6日!ISC.AI 2025北京開幕,共迎智能新紀元!
- MH-Net:基于多視角異構(gòu)圖的加密流量分類方法
- 2025年度網(wǎng)絡(luò)空間安全領(lǐng)域十大科學挑戰(zhàn)問題發(fā)布
- 分析:Palo Alto收購CyberArk的利與弊
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評估基準,覆蓋6大類別37種方法
- 引領(lǐng)智能運維!全新FortiAIOps 3.0重新定義IT運營