業(yè)界觀察家說(shuō)，Regin惡意軟件潛伏了長(zhǎng)達(dá)五年以上，其被曝光足以突顯優(yōu)化檢測(cè)方法的必要性。

賽門鐵克公司所披露的Regin惡意軟件，作為一項(xiàng)長(zhǎng)期由國(guó)家資助的網(wǎng)絡(luò)間諜活動(dòng)的一部分。人們已將Regin與震網(wǎng)(Stuxnet)和火焰(Flame)進(jìn)行相提并論，它們是兩個(gè)有史以來(lái)最為復(fù)雜的惡意軟件。創(chuàng)建Regin所需的專業(yè)技能毋庸置疑，與此同時(shí)安全業(yè)界觀察家認(rèn)為Regin再次證明更多的組織和廠商需要聚焦威脅檢測(cè)而不是防護(hù)。

賽門鐵克針對(duì)Regin的技術(shù)分析文章發(fā)布于11月末(技術(shù)博客是2014年11月23日，白皮書(shū)是2014年11月24日)，文中曝光了一個(gè)既強(qiáng)大又高度可定制的惡意軟件平臺(tái)。根據(jù)賽門鐵克的分析，Regin的第一個(gè)版本至少?gòu)?008年起到2011年就已在被使用，而第二個(gè)版本在2013年才被發(fā)現(xiàn)。

作為一個(gè)模塊化惡意軟件平臺(tái)，Regin包含很多相互依存的功能組件。這種設(shè)計(jì)允許攻擊者根據(jù)具體目標(biāo)和情況部署不同的有效載荷。賽門鐵克稱，這種多階段加載架構(gòu)(類似于Stuxnet和Duqu)讓人難以分析Regin，因?yàn)樵搻阂廛浖乃薪M件并不能在同一時(shí)間使用。

而且不同于許多其他的高級(jí)持續(xù)威脅(APT)通常專注于收集有價(jià)值的知識(shí)產(chǎn)權(quán)，賽門鐵克論文指出了Regin的獨(dú)特性，因?yàn)樗嫦蚴占鞣N非特定數(shù)據(jù)以及長(zhǎng)期秘密監(jiān)控個(gè)人或組織。

“Regin是一個(gè)復(fù)雜的惡意軟件，其結(jié)構(gòu)顯示了一定程度罕見(jiàn)的技術(shù)能力，”賽門鐵克安全響應(yīng)團(tuán)隊(duì)在博客中寫到，“極有可能它的開(kāi)發(fā)耗時(shí)數(shù)月，如果不是以年計(jì)，且它的作者不遺余力去掩蓋它的蹤跡。”

Regin：誰(shuí)來(lái)對(duì)此負(fù)責(zé)?

Regin感染很大程度上沖擊了俄羅斯和沙特阿拉伯，而攻擊目標(biāo)中只有較少幾個(gè)西方國(guó)家。目標(biāo)的位置已使得許多業(yè)界觀察家將Regin與美國(guó)和以色列兩國(guó)政府進(jìn)行的操作聯(lián)系起來(lái)，它們都被列為應(yīng)對(duì)伊朗核設(shè)施Stuxnet攻擊事件負(fù)責(zé)，盡管沒(méi)有任何一國(guó)政府對(duì)此承擔(dān)責(zé)任。

先前出現(xiàn)的證據(jù)表明至少可以追溯到2010年，美國(guó)與英國(guó)情報(bào)機(jī)構(gòu)就可能已經(jīng)使用了Regin。之前美國(guó)國(guó)家安全局(NSA)承包商Edward Snowden的信息披露已經(jīng)將英國(guó)政府通訊總局(GCHQ)與一次名為Operation Specialist的秘密任務(wù)聯(lián)系到一起，該任務(wù)目標(biāo)為比利時(shí)電信公司Belgacom，通過(guò)惡意軟件允許代理軟件收集該公司客戶以及公司內(nèi)部的通信數(shù)據(jù)。

賽門鐵克白皮書(shū)

“Regin采用了六個(gè)階段加載的架構(gòu)。初始階段安裝和配置其內(nèi)部服務(wù)。后續(xù)階段發(fā)揮主要載荷作用。本節(jié)簡(jiǎn)要介紹各階段加載的文件格式和意圖。最有趣的階段是存儲(chǔ)可執(zhí)行文件和數(shù)據(jù)文件的第四、五階段。初始的第一階段驅(qū)動(dòng)是機(jī)器上唯一明文可見(jiàn)的代碼。所有其他階段都存儲(chǔ)為加密的數(shù)據(jù)，作為一個(gè)文件或在非傳統(tǒng)文件存儲(chǔ)區(qū)域內(nèi)，如注冊(cè)表、擴(kuò)展屬性或是磁盤末的原始扇區(qū)。”

針對(duì)Belgacom的惡意軟件，當(dāng)時(shí)尚屬未知，之后被確定為同樣見(jiàn)于NSA針對(duì)歐盟多個(gè)國(guó)家開(kāi)展行動(dòng)時(shí)所采用的手法。德國(guó)咨詢公司Fox-IT安全，負(fù)責(zé)清除Belgacom網(wǎng)絡(luò)中的該惡意軟件。其創(chuàng)始人兼CTO，Ronald Prins，在與The Intercept的一次訪談中提及，該惡意軟件是他見(jiàn)過(guò)最為復(fù)雜的一個(gè)，并且可以得出了關(guān)于其創(chuàng)造者的結(jié)論。

Prins告訴The Intercept，“分析了該惡意軟件以及查看Snowden文檔，我確信是英國(guó)和美國(guó)情報(bào)服務(wù)部門在使用Regin。#p#

Regin是如何避開(kāi)檢測(cè)的?

Regin的突出不僅在于它的復(fù)雜特性集，還在于它之前至少有五年未被檢測(cè)到。只是這個(gè)惡意軟件是如何能遠(yuǎn)離安全廠商和專家的雷達(dá)，尤其是他們中那些負(fù)責(zé)發(fā)現(xiàn)和分析這類威脅的?

盡管賽門鐵克上周(技術(shù)博客是2014年11月23日)首次公布了Regin的存在，Big Yellow、微軟以及F-Secure也都承認(rèn)早在2009年就首次識(shí)別到了Regin組件，從而使得有人猜測(cè)，不是防惡意軟件廠商故意選擇不面向公眾披露Regin，就是很長(zhǎng)時(shí)間根本沒(méi)有意識(shí)到這些組件的價(jià)值。

ThetaRay是一家致力于關(guān)鍵基礎(chǔ)設(shè)施防護(hù)的以色列公司，該公司CEO，Mark Gazit認(rèn)為Regin的命令與控制(C&C)基礎(chǔ)架構(gòu)是逃避檢測(cè)的核心。Gazit指出，Regin依賴于諸如HTTP cookie中的內(nèi)置命令以及自定義TCP與UDP協(xié)議等合法通信信道，這有利于攻擊者嘗試隱藏惡意活動(dòng)。一個(gè)組織原有必要能查看所有的數(shù)據(jù)特征、同時(shí)進(jìn)行分析以確定哪些是不正常的。

Gazit認(rèn)為同樣重要的是，Regin的模塊化特性有助于逃避檢測(cè)，因?yàn)镽egin身后的攻擊者可以面向特定的目標(biāo)自定義該惡意軟件。由于如此多的安全產(chǎn)品仍然依賴于簽名技術(shù)進(jìn)行檢測(cè)，那么惡意軟件代碼中即使是小的改動(dòng)也有助于繞過(guò)許多組織賴以發(fā)現(xiàn)攻擊的技術(shù)。

Gazit還認(rèn)為：“這種模塊化能力進(jìn)一步解釋了為什么現(xiàn)有安全技術(shù)發(fā)現(xiàn)不了Regin。攻擊越來(lái)越錯(cuò)綜復(fù)雜的這一事實(shí)令人擔(dān)憂，也呼吁新的安全概念化創(chuàng)新，這樣才可能幾分鐘內(nèi)發(fā)現(xiàn)類似Regin這樣的復(fù)雜攻擊，而不是耗時(shí)數(shù)月或數(shù)年。”

ZeroFox是一家安全創(chuàng)業(yè)公司，總部在馬里蘭州巴爾的摩。公司副總裁Ian Amit指出Regin的“俄羅斯玩偶”架構(gòu)作為惡意軟件能藏匿于組織網(wǎng)絡(luò)中的一種手段。Regin總共采用六個(gè)階段實(shí)現(xiàn)目標(biāo)機(jī)器感染，這不包括尚未識(shí)別的Dropper。初始階段解壓縮、安裝并運(yùn)行內(nèi)核驅(qū)動(dòng)，這是服務(wù)于第三階段，在第三階段Regin的實(shí)際功能才開(kāi)始輸出。

Regin的主要載荷直到第五階段才被加載，這意味著初始感染在更早階段發(fā)生。Amit補(bǔ)充說(shuō)，Regin作者為多個(gè)階段的部署采用了加密手段，這使得終端安全與其他檢測(cè)技術(shù)在對(duì)抗中處于劣勢(shì)。

“Regin凸顯了優(yōu)化運(yùn)維安全的需求，將其作為組織風(fēng)險(xiǎn)管理方法的一部分。”Amit通過(guò)郵件說(shuō)，“利用人的因素最小化攻擊面以及長(zhǎng)期監(jiān)控變更，這兩種能力對(duì)于對(duì)抗持續(xù)威脅都至關(guān)重要。”

Regin：是否應(yīng)當(dāng)引起企業(yè)關(guān)注?

盡管該惡意軟件已被用于攻擊如俄羅斯、沙特阿拉伯及墨西哥這樣的政府機(jī)構(gòu)，專家警告說(shuō)Regin(或者至少它的元素)在將來(lái)可能會(huì)針對(duì)更多的西方國(guó)家。

Coretelligent是一家總部在馬薩諸塞州尼德姆的公司。其技術(shù)副總裁Chris Messer認(rèn)為，盡管目前Regin對(duì)美國(guó)政府或總部在美國(guó)的企業(yè)尚不構(gòu)成威脅，但該惡意軟件可能被其他國(guó)家實(shí)施逆向工程并用于竊取敏感信息。

Messer還說(shuō)，“認(rèn)為這些工具不可能被輕易重新利用或重新部署用于攻擊我們的盟友或甚至是個(gè)別的商業(yè)領(lǐng)袖、政治目標(biāo)或公民，這種想法太單純。”

ThetaRay的Gazit同意Regin可能被攻擊者實(shí)施逆向工程，他們能夠剪切和粘貼他們自己的模塊到這個(gè)平臺(tái)中，盡管“普通黑客和網(wǎng)絡(luò)罪犯”此刻還不太可能理解Regin精巧的代碼。

還有，與震網(wǎng)和火焰被曝光后極為相似，Gazit認(rèn)為隨著時(shí)間推移，個(gè)別特性將陸續(xù)進(jìn)入到日常的漏洞利用攻擊工具集。Gazit補(bǔ)充說(shuō)，Regin采用的感染方法就是這樣一個(gè)特性。為了能下載模塊到一個(gè)已被感染的系統(tǒng)中，Regin創(chuàng)建了一個(gè)簡(jiǎn)單后門，然后連接用戶到一個(gè)虛假的LinkedIn頁(yè)面，這樣不會(huì)觸發(fā)大多數(shù)組織內(nèi)的安全告警。Regin接著能從這個(gè)惡意頁(yè)面下載載荷。

Gazit還說(shuō)：“對(duì)于網(wǎng)絡(luò)罪犯，考慮高轉(zhuǎn)化率始終是一個(gè)他們持續(xù)努力提升的數(shù)字游戲，如適當(dāng)調(diào)配感染的機(jī)器。而Regin特性正是他們可能會(huì)設(shè)法插入自己代碼的那類。”