賽門鐵克對 Regin 木馬程式的持續深入調查,為網路間諜工具的迷霧帶來一線曙光,發現了它的更多功能及支援此威脅的複雜基礎架構。
賽門鐵克去年發現了 Regin,而它也是截至目前為止我們所發現到的間諜工具中最先進的一種。該惡意程式至少自 2008 年就開始流通,而且被運用在對付各種目標上,包括政府機構、基礎設施營運商、企業、研究人員及個人。
全新的模組
Regin 是一種五階段式的威脅,每一個階段都會載入和解密下一個階段的程式。該惡意程式在結構上是模組化的,因此能讓它的控制器視目標的狀況新增和移除特定功能。某些 Regin 模組會控制該惡意程式的基本功能,例如網路連線或處理 Regin 的加密式虛擬檔案系統 (encrypted virtual file system,簡稱 EVFS)。而其他模組則是扮演酬載 (payload) 的角色,指揮每一次 Regin 感染的功能。
如更新的技術白皮書中所述,賽門鐵克已經發現了 49 種新的模組,使發現到的 Regin 模組總數來到 75 種。這份名單應該還不完全。我們已知還有不少其他 Regin 酬載的存在,因為經我們分析過的某些模組包含了指向這些酬載。
指令與控制
賽門鐵克發現到支援 Regin 感染行動的多個指令與控制 (command-and-control,簡稱 C&C) 基礎架構。攻擊者設計了一套與 C&C 伺服器通訊的複雜系統,其中的流量會透過感染 Regin 的電腦網路來轉送。被入侵的電腦可以做為其他受感染電腦的代理伺服器,並且使用點對點 (peer-to-peer,簡稱 P2P) 通訊。該惡意程式使用的網路通訊協定包羅萬象,可以設定為在一對受到 Regin 感染的電腦之間互相切換,提供攻擊者精密控制 C&C 通訊的管道。
所有的 C&C 通訊都採用了增強式加密,並依循兩階段的通訊協定,攻擊者會在其中一個通道連絡被感染的電腦,然後在另一個通道指示它開啟通訊。只有一個 Regin 模組 (0009h) 負責通訊協定的核心處理工作,而每一種通訊協定都有各自分別的模組。我們總共找出 6 種傳輸通訊協定,包括:ICMP、UDP、TCP、HTTP、Cookies、SSL 和 SMB。
Regin 的 P2P 通訊功能會視每一台受到 Regin 感染的電腦為指定的虛擬 IP 位址,在受感染電腦的實體網路之上形成一個虛擬私有網路 (virtual private network,簡稱 VPN)。這項 P2P 功能可讓攻擊者在遭受入侵的企業內維持對重要資產的存取權限,並掩飾屬於該集團的核心基礎架構。節點間的流量可根據節點在網路中放置的位置設定為符合預期的通訊協定,為它們的通訊增添更進一步的隱匿性。
遠端程序呼叫 (Remote procedure call,簡稱 RPC) 機制
Regin 的作者會利用一種輕量化的遠端程序呼叫 (RPC) 流程來協助模組之間的通訊,而且這個 RPC 機制似乎可以自訂。
該 RPC 機制能讓程序呼叫在本地端以及整個受到 Regin 感染的電腦網路上執行。操作人員可以在 Regin 網路上直接呼叫任何程序,以便從遠端控制、安裝或更新模組,或是透過更換 EVFS 檔來變更模組的組態。
Regin 的舊版
雖然這個威脅在去年曝光了,但該惡意程式背後的集團似乎並沒有停止運作。它的輝煌記錄與可用資源很可能可以讓這個集團在新的威脅中重振雄風,或努力將 Regin 升級,讓它得以迴避偵測。若考量到它們從頭開發一個具備功能相當的惡意程式架構所花費的時間,後者是比較可能採取的行動。
就技術功能而言,Regin 已經超過大多數威脅好幾年了。它對其他威脅的影響可能還會持續下去,一些較不那麼先進的威脅行動者會從它身上汲取靈感,然後努力地複製它的功能,以改良本身的工具。
延伸閱讀
針對我們提供給安全系統管理員的入侵指標,以及更詳盡的技術資訊,請閱讀我們更新的技術報告−Regin: Top-tier espionage tool enables stealthy surveillance
防護方法
賽門鐵克與諾頓產品偵測到的此種威脅名為 Backdoor.Regin。