Regin是一款先進(jìn)的間諜軟件，具有罕見的技術(shù)能力，被用于監(jiān)視政府機(jī)關(guān)、基礎(chǔ)設(shè)施運(yùn)營(yíng)商、企業(yè)、研究機(jī)構(gòu)甚至針對(duì)個(gè)人的間諜活動(dòng)中 

[[123458]]

自2008年起，一款名為Regin的先進(jìn)惡意軟件就已經(jīng)被用于針對(duì)許多跨國(guó)目標(biāo)的系統(tǒng)性間諜活動(dòng)中。Regin是一款復(fù)雜的后門木馬惡意軟件，其結(jié)構(gòu)設(shè)計(jì)具有罕見的技術(shù)能力。根據(jù)攻擊目標(biāo)，Regin具有高度可定制化功能，能夠使攻擊者通過(guò)強(qiáng)大的框架進(jìn)行大規(guī)模監(jiān)視，并且已經(jīng)被用于監(jiān)視政府機(jī)關(guān)、基礎(chǔ)設(shè)施運(yùn)營(yíng)商、企業(yè)、研究機(jī)構(gòu)甚至針對(duì)個(gè)人的間諜活動(dòng)中。

Regin的開發(fā)者投入了大量的心思來(lái)隱匿其行蹤，這款惡意軟件的開發(fā)時(shí)間就算不耗費(fèi)數(shù)年，也可能耗費(fèi)數(shù)月時(shí)間來(lái)完成。Regin強(qiáng)大的功能和其背后支撐的強(qiáng)大資源說(shuō)明，這是一款國(guó)家級(jí)使用的重要網(wǎng)絡(luò)間諜工具。

賽門鐵克最新發(fā)布的一份技術(shù)白皮書提到，Backdoor.Regin具有多個(gè)階段，除第一階段外，其他各級(jí)階段都非常隱蔽并經(jīng)過(guò)了加密處理。執(zhí)行第一階段會(huì)啟動(dòng)一連串類似多米諾骨牌效應(yīng)的解密作業(yè)，并加載后續(xù)階段。Regin總共五個(gè)階段，每個(gè)階段僅提供非常有限的關(guān)于完整程序包的信息。只有截獲全部五個(gè)階段的數(shù)據(jù)，才能分析和理解它的具體威脅。 

圖1：Regin的五個(gè)階段

Regin使用模塊化方法，可針對(duì)攻擊目標(biāo)加載定制功能。這種模塊化方法也被用于其他復(fù)雜惡意軟件系列，例如Flamer和Weevil（即“面具”），而多階段加載架構(gòu)類似于 Duqu/Stuxnet 威脅系列。

時(shí)間進(jìn)程和攻擊目標(biāo)概述

在2008年至2011年間，賽門鐵克觀察到Regin已經(jīng)感染了多個(gè)組織機(jī)構(gòu)，而在此之后，它卻突然銷聲匿跡。從2013年起，該惡意軟件的新版本再次浮出水面，攻擊目標(biāo)包括私營(yíng)企業(yè)、政府機(jī)關(guān)和研究機(jī)構(gòu)。近半數(shù)的感染是以個(gè)人和小型企業(yè)為目標(biāo)。針對(duì)電信公司的攻擊，也意在通過(guò)訪問(wèn)其基礎(chǔ)設(shè)施獲取通話內(nèi)容。 

圖2：已經(jīng)證實(shí)的Regin感染狀況（按領(lǐng)域）

感染事件所發(fā)生的地區(qū)分布廣泛，已確定的感染區(qū)域主要來(lái)自十個(gè)國(guó)家地區(qū)。

圖3：已證實(shí)的Regin感染分布（按國(guó)家和地區(qū)）

感染媒介和有效負(fù)載

感染媒介因攻擊目標(biāo)而異，截至本文撰寫時(shí)，尚未發(fā)現(xiàn)可復(fù)制媒介 (reproducible vector)。賽門鐵克認(rèn)為，某些目標(biāo)受害者可能被誘騙訪問(wèn)假冒的知名網(wǎng)站，該惡意軟件可能通過(guò)網(wǎng)絡(luò)瀏覽器或應(yīng)用漏洞安裝入侵。 

據(jù)某臺(tái)電腦上的日志文件顯示，Regin通過(guò)未經(jīng)證實(shí)的方式，由Yahoo! Instant Messenger入侵電腦。

Regin使用模塊化方法，威脅操控者可靈活地根據(jù)需要，對(duì)單個(gè)目標(biāo)加載定制功能。某些定制的有效負(fù)載極為先進(jìn)，顯現(xiàn)出極高的專業(yè)領(lǐng)域知識(shí)，進(jìn)一步證明了Regin開發(fā)者能夠調(diào)配大量資源。

Regin的有效負(fù)載具有幾十種之多。該惡意軟件的標(biāo)準(zhǔn)功能包括多種遠(yuǎn)程訪問(wèn)木馬(Remote Access Trojan，RAT)功能，例如，捕捉屏幕截圖、控制鼠標(biāo)的點(diǎn)擊功能、竊取密碼、監(jiān)控網(wǎng)絡(luò)流量和恢復(fù)刪除文件等。 

目前發(fā)現(xiàn)了更多特定且先進(jìn)的有效負(fù)載模塊，例如Microsoft IIS網(wǎng)絡(luò)服務(wù)器流量監(jiān)測(cè)器，以及手機(jī)基站控制器管理的流量嗅探器。

隱秘性

Regin的開發(fā)者花費(fèi)了大量精力來(lái)確保它的隱秘性。其極難被發(fā)現(xiàn)的低調(diào)特性，使它可能在過(guò)去的數(shù)年里被應(yīng)用于各種間諜活動(dòng)中。即使被檢測(cè)出來(lái)，也很難確定它具體從事何種活動(dòng)。賽門鐵克只能在破解樣本文件后，才能分析其有效負(fù)載。

Regin具有多種“隱秘”功能，包括反取證功能、定制的加密虛擬文件系統(tǒng) (EVFS) ，以及非常用的以RC5變種形式呈現(xiàn)出來(lái)的替代加密方式。Regin使用多種先進(jìn)復(fù)雜的方法與攻擊者秘密溝通，包括通過(guò)ICMP/ping，在HTTP cookies中嵌入命令，以及采用定制TCP和UDP協(xié)議實(shí)現(xiàn)通信目的。

結(jié)論

Regin是一款高度復(fù)雜的惡意軟件，被用于系統(tǒng)性的數(shù)據(jù)收集或情報(bào)收集活動(dòng)。它的開發(fā)和運(yùn)作需要投入大量時(shí)間和資源，這表明該惡意軟件可能是由某國(guó)家作為背后支持。復(fù)雜的設(shè)計(jì)使它非常適合對(duì)目標(biāo)進(jìn)行長(zhǎng)期的監(jiān)視活動(dòng)。

對(duì)Regin的發(fā)現(xiàn)表明，用于情報(bào)收集工具的持續(xù)投資如此之大。賽門鐵克認(rèn)為，Regin的許多組件尚未被發(fā)現(xiàn)，并且很可能存在其他的功能和不同版本。賽門鐵克將持續(xù)進(jìn)行深入分析，并及時(shí)發(fā)布任何最新發(fā)現(xiàn)。