现在有一款叫Regin的黑客软件,至少是2008年以前就被用来对很多的国际组织发动攻击的黑客软件.作为一款复杂的黑客软件,它有一些不常见的功能.由于软件攻击的目标各种各样,所以Regin可拓展性也是很强的,它为控制端提供了一个功能强大框架来监控.Regin已经被用来监控政府组织、基础设施运营商、企业、研究人员和个人。
这款软件花费了好几月的研发时间.从它强大的功能可以猜出Regin是某个国家的一些人搞出来的.
从赛门铁克给出的报告中可以看出,运行Regin分好几个阶段的,除了一个阶段,其他几个阶段都是加密的.执行完第一个阶段的代码就会依次加载后面几个阶段的代码.每一个阶段的代码都只有整个软件包的信息,所以完整得到五个阶段的代码才有可能分析这个黑客软件的所有功能.
从图1中可以看出Regin允许加载自定义的模块到目标主机中.而这种允许加载自定义模块的特点在如Flamer和Weevil的黑客软件中也有.
目标分布表
Regin从2008年到2011年被发现使用,之后消失了一段时间,再然后2013年起一个新版本的regin又出现了。目标包括私营企业,政府机构和研究机构。几乎一半的感染是针对个人和小企业。攻击电信公司似乎是为了访问基础设施的权限.
赛门铁克指出一部分是进了钓鱼网站然后安装软件的.有一台的日志还显示被安装的Regin是通过一个没有确认的exploit安装的.
Regin可以加载模块,这样的话控制受害机器肯定很方便啊是吧.从Regin的某些模块还可以看出来作者对一些特殊的领域非常熟悉,这更进一步说明作者的知识深度.
regin还有必备的RAT功能,如捕捉截图、控制鼠标,窃取密码,监控网络流量,恢复删除文件。
更高端的payload也被发现,如Microsoft IIS web服务器流量监控和移动电话基站控制器的流量嗅探。
即使Regin确实被检测出来了,也很难确认Regin有哪些动作.赛门铁克也只能分析一些简单payload的行为。
同时,它还有一些反取证的能力,一个内置的加密文件系统(EVFS).它还会用一些隐蔽的方式和攻击者通信,比如通过ICMP/ping包,或者在HTTP cookies中嵌入命令,或者自定义TCP/UDP协议。
Regin是一款复杂的黑客软件.这款软件的开发肯定用了很多时间和资源,这种财力说明可能其开发受某国家支持。它的设计很适合对目标长期控制.赛门铁克和诺顿把这款软件威胁定义为Backdoor.Regin。