http://netsecurity.51cto.com/art/201412/458871_all.htm
2014-12-05 09:18
业界观察家说,Regin恶意软件潜伏了长达五年以上,其被曝光足以突显优化检测方法的必要性。

赛门铁克公司所披露的Regin恶意软件,作为一项长期由国家资助的网络间谍活动的一部分。人们已将Regin与震网(Stuxnet)和火焰(Flame)进行相提并论,它们是两个有史以来最为复杂的恶意软件。创建Regin所需的专业技能毋庸置疑,与此同时安全业界观察家认为Regin再次证明更多的组织和厂商需要聚焦威胁检测而不是防护。

赛门铁克针对Regin的技术分析文章发布于11月末(技术博客是2014年11月23日,白皮书是2014年11月24日),文中曝光了一个既强大又高度可定制的恶意软件平台。根据赛门铁克的分析,Regin的第一个版本至少从2008年起到2011年就已在被使用,而第二个版本在2013年才被发现。

作为一个模块化恶意软件平台,Regin包含很多相互依存的功能组件。这种设计允许攻击者根据具体目标和情况部署不同的有效载荷。赛门铁克称,这种多阶段加载架构(类似于Stuxnet和Duqu)让人难以分析Regin,因为该恶意软件的所有组件并不能在同一时间使用。

而且不同于许多其他的高级持续威胁(APT)通常专注于收集有价值的知识产权,赛门铁克论文指出了Regin的独特性,因为它面向收集各种非特定数据以及长期秘密监控个人或组织。

“Regin是一个复杂的恶意软件,其结构显示了一定程度罕见的技术能力,”赛门铁克安全响应团队在博客中写到,“极有可能它的开发耗时数月,如果不是以年计,且它的作者不遗余力去掩盖它的踪迹。”

Regin:谁来对此负责?

Regin感染很大程度上冲击了俄罗斯和沙特阿拉伯,而攻击目标中只有较少几个西方国家。目标的位置已使得许多业界观察家将Regin与美国和以色列两国政府进行的操作联系起来,它们都被列为应对伊朗核设施Stuxnet攻击事件负责,尽管没有任何一国政府对此承担责任。

先前出现的证据表明至少可以追溯到2010年,美国与英国情报机构就可能已经使用了Regin。之前美国国家安全局(NSA)承包商Edward Snowden的信息披露已经将英国政府通讯总局(GCHQ)与一次名为Operation Specialist的秘密任务联系到一起,该任务目标为比利时电信公司Belgacom,通过恶意软件允许代理软件收集该公司客户以及公司内部的通信数据。

赛门铁克白皮书

“Regin采用了六个阶段加载的架构。初始阶段安装和配置其内部服务。后续阶段发挥主要载荷作用。本节简要介绍各阶段加载的文件格式和意图。最有趣的阶段是存储可执行文件和数据文件的第四、五阶段。初始的第一阶段驱动是机器上唯一明文可见的代码。所有其他阶段都存储为加密的数据,作为一个文件或在非传统文件存储区域内,如注册表、扩展属性或是磁盘末的原始扇区。”

针对Belgacom的恶意软件,当时尚属未知,之后被确定为同样见于NSA针对欧盟多个国家开展行动时所采用的手法。德国咨询公司Fox-IT安全,负责清除Belgacom网络中的该恶意软件。其创始人兼CTO,Ronald Prins,在与The Intercept的一次访谈中提及,该恶意软件是他见过最为复杂的一个,并且可以得出了关于其创造者的结论。

Prins告诉The Intercept,“分析了该恶意软件以及查看Snowden文档,我确信是英国和美国情报服务部门在使用Regin。

Regin是如何避开检测的?

Regin的突出不仅在于它的复杂特性集,还在于它之前至少有五年未被检测到。只是这个恶意软件是如何能远离安全厂商和专家的雷达,尤其是他们中那些负责发现和分析这类威胁的?

尽管赛门铁克上周(技术博客是2014年11月23日)首次公布了Regin的存在,Big Yellow、微软以及F-Secure也都承认早在2009年就首次识别到了Regin组件,从而使得有人猜测,不是防恶意软件厂商故意选择不面向公众披露Regin,就是很长时间根本没有意识到这些组件的价值。

ThetaRay是一家致力于关键基础设施防护的以色列公司,该公司CEO,Mark Gazit认为Regin的命令与控制(C&C)基础架构是逃避检测的核心。Gazit指出,Regin依赖于诸如HTTP cookie中的内置命令以及自定义TCP与UDP协议等合法通信信道,这有利于攻击者尝试隐藏恶意活动。一个组织原有必要能查看所有的数据特征、同时进行分析以确定哪些是不正常的。

Gazit认为同样重要的是,Regin的模块化特性有助于逃避检测,因为Regin身后的攻击者可以面向特定的目标自定义该恶意软件。由于如此多的安全产品仍然依赖于签名技术进行检测,那么恶意软件代码中即使是小的改动也有助于绕过许多组织赖以发现攻击的技术。

Gazit还认为:“这种模块化能力进一步解释了为什么现有安全技术发现不了Regin。攻击越来越错综复杂的这一事实令人担忧,也呼吁新的安全概念化创新,这样才可能几分钟内发现类似Regin这样的复杂攻击,而不是耗时数月或数年。”

ZeroFox是一家安全创业公司,总部在马里兰州巴尔的摩。公司副总裁Ian Amit指出Regin的“俄罗斯玩偶”架构作为恶意软件能藏匿于组织网络中的一种手段。Regin总共采用六个阶段实现目标机器感染,这不包括尚未识别的Dropper。初始阶段解压缩、安装并运行内核驱动,这是服务于第三阶段,在第三阶段Regin的实际功能才开始输出。

Regin的主要载荷直到第五阶段才被加载,这意味着初始感染在更早阶段发生。Amit补充说,Regin作者为多个阶段的部署采用了加密手段,这使得终端安全与其他检测技术在对抗中处于劣势。

“Regin凸显了优化运维安全的需求,将其作为组织风险管理方法的一部分。”Amit通过邮件说,“利用人的因素最小化攻击面以及长期监控变更,这两种能力对于对抗持续威胁都至关重要。”

Regin:是否应当引起企业关注?

尽管该恶意软件已被用于攻击如俄罗斯、沙特阿拉伯及墨西哥这样的政府机构,专家警告说Regin(或者至少它的元素)在将来可能会针对更多的西方国家。

Coretelligent是一家总部在马萨诸塞州尼德姆的公司。其技术副总裁Chris Messer认为,尽管目前Regin对美国政府或总部在美国的企业尚不构成威胁,但该恶意软件可能被其他国家实施逆向工程并用于窃取敏感信息。

Messer还说,“认为这些工具不可能被轻易重新利用或重新部署用于攻击我们的盟友或甚至是个别的商业领袖、政治目标或公民,这种想法太单纯。”

ThetaRay的Gazit同意Regin可能被攻击者实施逆向工程,他们能够剪切和粘贴他们自己的模块到这个平台中,尽管“普通黑客和网络罪犯”此刻还不太可能理解Regin精巧的代码。

还有,与震网和火焰被曝光后极为相似,Gazit认为随着时间推移,个别特性将陆续进入到日常的漏洞利用攻击工具集。Gazit补充说,Regin采用的感染方法就是这样一个特性。为了能下载模块到一个已被感染的系统中,Regin创建了一个简单后门,然后连接用户到一个虚假的LinkedIn页面,这样不会触发大多数组织内的安全告警。Regin接着能从这个恶意页面下载载荷。

Gazit还说:“对于网络罪犯,考虑高转化率始终是一个他们持续努力提升的数字游戏,如适当调配感染的机器。而Regin特性正是他们可能会设法插入自己代码的那类。”

Regin恶意软件:何以潜伏如此久?相关推荐

  1. 在 HTML 中使用 ARIA 的规则

    什么是 ARIA? Accessible Rich Internet Applications(WAI-ARIA,简称 ARIA)是能够让残障人士更加便利的访问 Web 内容和使用 Web 应用(特别 ...

  2. 水痘痊愈就能终生免疫?其实病毒仍潜伏在神经,随时以更可怕的形式爆发......

    本文转载自公众号SME 想必大家在小时候,都有过类似的记忆: 班里又突然有位小伙伴因为得了水痘休学一两个周了. 当初懵懂的我们一边羡慕着不用上课的福利,一边对水痘充满了好奇和恐惧. 但感染过水痘的人恐 ...

  3. 【安全与风险】恶意软件:概念、攻击和检测

    恶意软件:概念.攻击和检测 恶意软件的定义 恶意软件的类型 易损性 如何防范恶意软件:终端用户的观点 不足 防病毒软件 基于主机的恶意软件检测 特征检测 启发式检测 数据收集挑战 沙箱分析 蜜罐 恶意 ...

  4. 五眼联盟入侵俄罗斯搜索引擎Yandex,美国不予置评

    五眼联盟,是英美协定下逐渐的情报分享机构,成员有美国.英国.新西兰.澳大利亚和加拿大,可见这几个国家无一例外都是以英语为母语的国家,可见其专门为英语国家提供情报共享. 网传,在冷战时期,五眼联盟推出了 ...

  5. 你想要的宏基因组-微生物组知识全在这(190101)

    文章目录 征稿.转载.合作 文章分类导航目录 精选文章推荐 培训.会议.招聘 科研经验 软件和数据库 扩增子分析 宏基因组分析 Linux与Shell R统计绘图 实验设计与技术 基础知识 一作解读 ...

  6. 生信宝典教程大放送,一站式学习生信技术

    生物信息学包含生物数据分析.数据可视化.重复工作程序化,是生物.医学科研必备的技能之一.生信宝典精心组织生信学习系列教程.生信工具精品教程,通过大量的生信例子.关键的注释.浓缩的语句和录制的视频帮助快 ...

  7. 你想要的宏基因组-微生物组知识全在这(1909)

    文章目录 征稿.转载.合作 文章分类导航目录 精选文章推荐 培训会议.招聘广告 科研经验 软件流程 扩增子分析 宏基因组分析 三代测序专题 Linux与Shell R统计绘图 实验设计与技术 基础知识 ...

  8. 你想要的宏基因组-微生物组知识全在这(1908)

    文章目录 征稿.转载.合作 文章分类导航目录 精选文章推荐 培训会议.招聘广告 科研经验 软件流程 扩增子分析 宏基因组分析 Linux与Shell R统计绘图 实验设计与技术 基础知识 作者解读 文 ...

  9. 你想要的宏基因组-微生物组知识全在这(1907)

    文章目录 征稿.转载.合作 文章分类导航目录 精选文章推荐 培训会议.招聘广告 科研经验 软件流程 扩增子分析 宏基因组分析 Linux与Shell R统计绘图 实验设计与技术 基础知识 作者解读 文 ...

最新文章

  1. js控制Iframe 和 iframe与主页的交互,传值 (转载)
  2. AI公开课:19.04.03周明—MSRA副院长《NLP的进步如何改变搜索的体验》课堂笔记以及个人感悟
  3. 减少系统资源占用的15个CSS常识
  4. LIVE555再学习 -- DM368/Hi3516A 交叉编译
  5. Java快速入门-01-基础篇
  6. Linux下Shell文件内容替换(sed)(转)
  7. Linux下查看网卡信息及确定网卡位置以及更改网卡名称
  8. SqlServer批量插入测试数据
  9. python 地理处理包:geopandas介绍
  10. Kettle下载资源
  11. 在SVN安装目录的bin文件夹下没有找到svn.exe
  12. win32画窗体背景
  13. php的研究意义 毕业论文,PHP毕业论文开题报告
  14. 不止骗钱,还撸网贷,现在的诈骗犯真是越来越骚了
  15. stm32 flymcu开始连接... 接收到:7F 7F 7F 7F 7F 7F以及无跳线帽短接方法
  16. 数据可视化--Superset使用示例
  17. ggplot2--geom_smooth和曲线拟合画图
  18. 华为中国大学生ICT大赛2021实践赛网络赛道晋级赛试题解析(答案版)
  19. js中Boolean值为false和true的情况:
  20. 第5章 Linux上管理文件系统

热门文章

  1. 2006年美国商业科技创新250强-----SUN公司第六!
  2. 30分钟,学会经典小游戏编程!
  3. 京杭大运河北线疏浚穿越黄河地形UTM平面直角坐标系分析GIS模型建立
  4. 【SQL注入】CTF练习题WriteUp——“百度杯”CTF比赛 九月场SQL
  5. 微信朋友圈图片压缩算法
  6. 华为鸿蒙os家电,搭载华为鸿蒙OS的美的产品上市
  7. 【SAP】 SAP自定义权限对象
  8. CMock使用手册翻译
  9. 化妆品护肤DiY的广告界面 简单的jquery 图片无缝滚动
  10. 你好,WeDataSphere!