Regin是一款先進(jìn)的間諜軟件，具有罕見的技術(shù)能力，被用于監(jiān)視政府機(jī)關(guān)、基礎(chǔ)設(shè)施運營商、企業(yè)、研究機(jī)構(gòu)甚至針對個人的間諜活動中 

[[123458]]

自2008年起，一款名為Regin的先進(jìn)惡意軟件就已經(jīng)被用于針對許多跨國目標(biāo)的系統(tǒng)性間諜活動中。Regin是一款復(fù)雜的后門木馬惡意軟件，其結(jié)構(gòu)設(shè)計具有罕見的技術(shù)能力。根據(jù)攻擊目標(biāo)，Regin具有高度可定制化功能，能夠使攻擊者通過強(qiáng)大的框架進(jìn)行大規(guī)模監(jiān)視，并且已經(jīng)被用于監(jiān)視政府機(jī)關(guān)、基礎(chǔ)設(shè)施運營商、企業(yè)、研究機(jī)構(gòu)甚至針對個人的間諜活動中。

Regin的開發(fā)者投入了大量的心思來隱匿其行蹤，這款惡意軟件的開發(fā)時間就算不耗費數(shù)年，也可能耗費數(shù)月時間來完成。Regin強(qiáng)大的功能和其背后支撐的強(qiáng)大資源說明，這是一款國家級使用的重要網(wǎng)絡(luò)間諜工具。

賽門鐵克最新發(fā)布的一份技術(shù)白皮書提到，Backdoor.Regin具有多個階段，除第一階段外，其他各級階段都非常隱蔽并經(jīng)過了加密處理。執(zhí)行第一階段會啟動一連串類似多米諾骨牌效應(yīng)的解密作業(yè)，并加載后續(xù)階段。Regin總共五個階段，每個階段僅提供非常有限的關(guān)于完整程序包的信息。只有截獲全部五個階段的數(shù)據(jù)，才能分析和理解它的具體威脅。 

圖1：Regin的五個階段

Regin使用模塊化方法，可針對攻擊目標(biāo)加載定制功能。這種模塊化方法也被用于其他復(fù)雜惡意軟件系列，例如Flamer和Weevil（即“面具”），而多階段加載架構(gòu)類似于 Duqu/Stuxnet 威脅系列。

時間進(jìn)程和攻擊目標(biāo)概述

在2008年至2011年間，賽門鐵克觀察到Regin已經(jīng)感染了多個組織機(jī)構(gòu)，而在此之后，它卻突然銷聲匿跡。從2013年起，該惡意軟件的新版本再次浮出水面，攻擊目標(biāo)包括私營企業(yè)、政府機(jī)關(guān)和研究機(jī)構(gòu)。近半數(shù)的感染是以個人和小型企業(yè)為目標(biāo)。針對電信公司的攻擊，也意在通過訪問其基礎(chǔ)設(shè)施獲取通話內(nèi)容。 

圖2：已經(jīng)證實的Regin感染狀況（按領(lǐng)域）

感染事件所發(fā)生的地區(qū)分布廣泛，已確定的感染區(qū)域主要來自十個國家地區(qū)。

圖3：已證實的Regin感染分布（按國家和地區(qū)）

感染媒介和有效負(fù)載

感染媒介因攻擊目標(biāo)而異，截至本文撰寫時，尚未發(fā)現(xiàn)可復(fù)制媒介 (reproducible vector)。賽門鐵克認(rèn)為，某些目標(biāo)受害者可能被誘騙訪問假冒的知名網(wǎng)站，該惡意軟件可能通過網(wǎng)絡(luò)瀏覽器或應(yīng)用漏洞安裝入侵。 

據(jù)某臺電腦上的日志文件顯示，Regin通過未經(jīng)證實的方式，由Yahoo! Instant Messenger入侵電腦。

Regin使用模塊化方法，威脅操控者可靈活地根據(jù)需要，對單個目標(biāo)加載定制功能。某些定制的有效負(fù)載極為先進(jìn)，顯現(xiàn)出極高的專業(yè)領(lǐng)域知識，進(jìn)一步證明了Regin開發(fā)者能夠調(diào)配大量資源。

Regin的有效負(fù)載具有幾十種之多。該惡意軟件的標(biāo)準(zhǔn)功能包括多種遠(yuǎn)程訪問木馬(Remote Access Trojan，RAT)功能，例如，捕捉屏幕截圖、控制鼠標(biāo)的點擊功能、竊取密碼、監(jiān)控網(wǎng)絡(luò)流量和恢復(fù)刪除文件等。 

目前發(fā)現(xiàn)了更多特定且先進(jìn)的有效負(fù)載模塊，例如Microsoft IIS網(wǎng)絡(luò)服務(wù)器流量監(jiān)測器，以及手機(jī)基站控制器管理的流量嗅探器。

隱秘性

Regin的開發(fā)者花費了大量精力來確保它的隱秘性。其極難被發(fā)現(xiàn)的低調(diào)特性，使它可能在過去的數(shù)年里被應(yīng)用于各種間諜活動中。即使被檢測出來，也很難確定它具體從事何種活動。賽門鐵克只能在破解樣本文件后，才能分析其有效負(fù)載。

Regin具有多種“隱秘”功能，包括反取證功能、定制的加密虛擬文件系統(tǒng) (EVFS) ，以及非常用的以RC5變種形式呈現(xiàn)出來的替代加密方式。Regin使用多種先進(jìn)復(fù)雜的方法與攻擊者秘密溝通，包括通過ICMP/ping，在HTTP cookies中嵌入命令，以及采用定制TCP和UDP協(xié)議實現(xiàn)通信目的。

結(jié)論

Regin是一款高度復(fù)雜的惡意軟件，被用于系統(tǒng)性的數(shù)據(jù)收集或情報收集活動。它的開發(fā)和運作需要投入大量時間和資源，這表明該惡意軟件可能是由某國家作為背后支持。復(fù)雜的設(shè)計使它非常適合對目標(biāo)進(jìn)行長期的監(jiān)視活動。

對Regin的發(fā)現(xiàn)表明，用于情報收集工具的持續(xù)投資如此之大。賽門鐵克認(rèn)為，Regin的許多組件尚未被發(fā)現(xiàn)，并且很可能存在其他的功能和不同版本。賽門鐵克將持續(xù)進(jìn)行深入分析，并及時發(fā)布任何最新發(fā)現(xiàn)。