[FONT=Comic Sans MS] فنی بدافزار جنجالی Regin
شرکت امنیتی سیمانتک چند روز پیش خبر از کشف بدافزاری بسیار پیچیده با نام Regin داد و اعلام کرد که بسیاری از سیستم های حساس و مهم در نقاط مختلف جهان از سال ۲۰۰۸ به آن آلوده بوده اند و مورد جاسوسی قرار گرفته اند.
سیمانتک پیش تر گفته بود پیچیدگی این نرم افزار آنقدر بالا است که تنها با حمایت برخی از دولت های خاص می تواند توسعه یافته باشد و بعید است کار یک گروه معمول هکری باشد.
امروز در همین رابطه تحلیلی از روابط عمومی شرکت پارس آتنا دژ توزیع کننده ی رسمی آنتی ویروس کسپرسکی در ایران به دستمان رسید که جزئیات بیشتری را در مورد مراحل نفود، آلوده سازی و عملکرد Regin آشکار می سازد.
برای مطالعه ی تحلیل یاد شده در ادامه ی مطلب با دیجیاتو همراه باشید.
به گزارش روابط عمومی شرکت پارس آتنا دژ، کشف بدافزار Regin، در چند روز گذشته سر و صدای زیادی را در محافل خبری و تخصصی داخلی و خارجی به پا کرده است. ورژنهای مختلف این بدافزار، براساس برخی روایتها بیش از یک دهه است به جاسوسی از کشورهای مختلف میپردازد. شرکت کسپرسکی که حدود دو سال است این بدافزار را مورد رهگیری قرار داده است، در گزارشی به معرفی آن پرداخته است.
معرفی و تاریخچه
در بهار ۲۰۱۲، بدافزاری به نام Duqu توسط شرکت Kaspersky Lab معرفی شد. متعاقب آن، یکی از محققان امنیتی اطلاعاتی را در مورد بدافزاری مشابه به کسپرسکی ارایه کرد که البته این اطلاعات فاقد نمونه ویروس بود. پس از آن، یکی از محققان همکار کسپرسکی، از این بدافزار به نام Regin یاد کرد، بدافزاری که اکنون بسیاری از سازمانهای امنیتی را در سراسر دنیا مورد حمله قرار داده است.
حدود دو سال است که شرکت Kaspersky Lab این بدافزار مخرب را مورد ردگیری قرار داده است. با بررسیها و نظارتهای مختلف مشخص شد که نمونههای این بدافزار ارتباطی به هم ندارند و به صورتهای مختلف عمل میکنند.
زمان ساخت اولین نسخه Sample دقیقا مشخص نیست. برخی از نمونههای این مخرب دارای مهر زمانی ۲۰۰۳ هستند.
قربانیان این بدافزار به دستههای زیر تقسیم می شوند:
اپراتورهای مخابراتی
موسسه های دولتی
پارلمان های سیاسی چند ملیتی
موسسه های مالی
موسسه های تحقیقاتی
افرادی که به صورت خاص در زمینه ی تحقیقات پیشرفته رمزنگاری فعالیت می کنند.
تا به اکنون، دو هدف اصلی حملات ناشی از این بدافزار مشاهده شده است:
جمع آوری اطلاعات هوشمند
تسهیل سایر حملات
در حالی که در بیشتر موارد، مهاجمان تمرکز شان بر روی استخراج اطلاعات حساس مانند ایمیلها و مستندات است، مواردی نیز مشاهده شده است که مهاجمان اپراتورهای مخابراتی را نیز مورد هدف قرار داده تا راه را برای حملات اضافی باز کنند.
شاید یکی از شناخته شدهترین قربانیان Regin را بتوان Jean Jacques Quisquater، رمز نگار مشهور بلژیکی، دانست. در فوریه ۲۰۱۴، وی اعلام کرد که قربانی یک نفوذ سایبری پیشرفته شده است. شرکت Kaspersky Lab توانست نمونههایی از مورد Quisquater را دریافت کند و تایید کند که آنها به پلتفرم Regin اختصاص دارند.
قربانی دیگر Regin کامپیوتری است با نام The Magnet of Threats. این کامپیوتر متعلق به یک موسسه تحقیقاتی است و توسط Turla، Mask/Careto، Regin، Itaduke، Animal Farm و برخی بدافزار پیشرفته دیگر مورد حمله قرار گرفته و به طور همزمان میزبان تمام این تهدیدات است.
نفوذ اولیه و تحرکات بعدی
متد دقیق اولین حمله این بدافزار به عنوان یک راز باقی مانده است. اگر چه برخی تئوری ها وجود دارند که شامل حملات man-in-the-middle با exploitهای zero-day است. در مورد برخی قربانیان، ابزار ها و ماژولهایی مشاهده شده است که به منظور تحرکات بعدی طراحی شدهاند.
تا این جا هیچ exploit خاصی مشاهده نشده است. ماژولهای دیگر در حقیقت از طریق share مربوط به ویندوز به کامپیوترهای راه دور انتقال داده و اجرا میشوند. واضح است این تکنیک نیاز به سطح دسترسی administrator در داخل شبکه قربانی دارد. در برخی موارد سیستمهای آلوده شده در اصل DCهای ویندوزی نیز بودهاند. حمله به کاربران administrator سیستمها از طریق exploitهای مبتنی بر وب یکی از راههای ساده برای دسترسی و در اختیار گرفتن مجوز administrator در کل شبکه است.
پلتفرم Regin
به طور مختصر، Regin یک حمله سایبری است که مهاجمان را قادر میسازد تا در کل شبکه قربانی بتوانند دسترسی را در تمام سطوح به دست آورند و کنترل از راه دور داشته باشند. این پلتفرم به صورت ماژولار بوده و دارای مراحل (Stage) مختلف است.
[FONT=Comic Sans MS]
[FONT=Comic Sans MS]مرحله اول (“stage 1”) ورود و ظاهر شدن فایل اجرایی در کامپیوتر قربانی است. مراحل بعدی یا به صورت NTFS Extended Attributes مستقیما بر روی هارد ذخیره میشوند و یا به عنوان entry در رجیستری جای میگیرند. ماژولهای زیادی در مرحله ۱ مشاهده شدهاند که گاهی با منابع عمومی ادغام میشوند تا به نوع خاصی از چندریختی (Polymorphism) دست یابند و در نتیجه روند شناسایی دشواری داشته باشند.
مرحله دوم فرآیند چندگانه دارد و میتواند آلودگی ناشی از Regin را پس از ورود به مرحله سوم، از سیستم حذف کند. مرحله دوم نیز یک فایل marker میسازد که میتواند به منظور تعیین سیستم آلوده مورد استفاده قرار گیرد. فایلهای شناخته شده برای این marker به صورت زیر هستند:
SYSTEMROOT%\system32\nsreg1.dat%
SYSTEMROOT%\system32\bssec3.dat%
SYSTEMROOT%\system32\msrdc64.dat%
مرحله ۳ تنها بر روی سیستمهای ۳۲ بیتی وجود دارد و در سیستمهای ۶۴ بیتی مرحله ۲ مستقیما dispatcher را بارگذاری میکند و از مرحله ۳ عبور میکند.
مرحله ۴، dispatcher، شاید پیچیدهترین ماژول در کل پلتفرم باشد. در حقیقت dispatcher هسته user-mode فریمورک است. این ماژول در سیستمهای ۶۴ بیتی به طور مستقیم در فرآیند بوت بارگذاری می گردد و در سیستمهای ۳۲ بیتی به عنوان ماژول ۵۰۲۲۱ بارگذاری میشود.
ماژول مذکور پیچیدهترین وظایف پلتفرم Regin مانند تهیه API برای دسترسی به virtual system files، برقراری ارتباطات اولیه و توابع ذخیرهسازی و همچنین انجام سابروتینهای انتقال شبکه را بر عهده دارد. به عبارت دیگر dispatcher مغز این پلتفرم محسوب میشود. اطلاعات کامل مراحل پلتفرم Regin در این لینک قابل دریافت است.
های غیرمعمول و ساختگی
در برخی از Virtual File Systemها این مورد مشاهده میشود که ردپایی از ماژولهای راهاندازی شده در سیستم قربانی وجود دارد که به صورت کلماتی در آنها ذخیره شده است. به عنوان مثال به موارد زیر می توان اشاره کرد:
ماژول دیگری که یافته شده است از نوع ۵۵۰۰۱٫۰ است که دارای نام U_STARBUCKS:
[FONT=Comic Sans MS]
[FONT=Comic Sans MS] [FONT=Comic Sans MS]GSM Targeting [FONT=Comic Sans MS]جالب ترین نکته در مورد Regin این است که یکی از اپراتور های بزرگ GSM را نیز آلوده کرده است. یک VFS رمزگذاری شده با شناسه ۵۰۰۴۹٫۲ پیدا شد که به نظر میرسد log فعالیت یک کنترل کننده ایستگاه GSM است.
[FONT=Comic Sans MS]
[FONT=Comic Sans MS]ساختار یک شبکه GSM [FONT=Comic Sans MS]در شکل زیر نمونه ای از log فعالیت GSM دیکد شده و نمایش داده شده است:
[FONT=Comic Sans MS]
[FONT=Comic Sans MS]حجم این log حدود ۷۰ کیلوبایت است و شامل صدها entry مانند تصویر فوق می باشد. همچنین شامل مهرهای زمانی بوده که نشان میدهد دستور مربوطه چه زمانی اجرا شده است. در شکل زیر تعداد دستورات (OSS) هر روز که log آنها تهیه شده است نمایش داده شده است: [FONT=Comic Sans MS]
[FONT=Comic Sans MS] [FONT=Comic Sans MS]
[FONT=Comic Sans MS]داده های موجود در log نشان میدهد که شامل فرامین OSS MML مربوط به Ericsson است. در شکل زیر برخی از فرامین استفاده شده و همچنین مهرهای زمانی آن ها نشان داده شده است:
[FONT=Comic Sans MS] [FONT=Comic Sans MS]
[FONT=Comic Sans MS]البته از آن جا که بررسی فرامین فوق و توصیف عملکرد آنها نیازمند دانش کلی در این زمینه است، برای اطلاعات بیشتر می توانید به منبع خبر مراجعه کنید. به طور کلی در شکل زیر نشان داده شده که عملکرد این پلتفرم در کدام حوزه ها بوده است.
[FONT=Comic Sans MS] [FONT=Comic Sans MS]
[FONT=Comic Sans MS]همچنین در شکل زیر نشان داده است که در میان ۲۷ کشور کلی که قربانی این حمله بوده اند، ۱۴ کشور به صورت مشخصتر شناسایی شدهاند که به طور جدیتر و با حجم بالاتر مورد حمله قرار گرفتهاند:
[FONT=Comic Sans MS]
[FONT=Comic Sans MS][FONT=Comic Sans MS]
نتیجه گیری : [COLOR=#0070C0]
[FONT=Comic Sans MS]بیش از یک دهه است که گروهی حرفهای به نام Regin مراکز سطح بالای دنیا را توسط پلتفرم بدافزاری پیشرفته خود مورد حمله قرار میدهد. در نتیجه میتوان گفت فعالیت آن هنوز برقرار بوده و احتمالا نسخههای جدیدتری از آن در حال ایجاد است. جدیدترین نمونه مشاهده شده از آن بر سیستمی ۶۴ بیتی بوده که در بهار ۲۰۱۴ فعال بوده است.
نام Regin در حقیقت معکوس شده In Reg و یا به طور کاملتر In Registry است. چرا که ماژولهای آن در رجیستری ذخیره میگردد. شناسایی این نام برای اولین بار در محصولات امنیتی در سال ۲۰۱۱ ظاهر شد.
از منظر دیگر، این پلتفرم ما را به یاد بدافزار Turtla میاندازد. شباهت این دو بدافزار در استفاده از VFSها و ایجاد ارتباطات پنهان به منظور پل زدن میان شبکههای مختلف است. همچنین پیادهسازی، متدهای نام گذاری، پلاگینها و تکنیکهای مخفیسازی در Regin حتی در سطح بالاتری قرار دارد. از طرفی قابلیت نفوذ این بدافزار به شبکه های GSM شاید مهم ترین و غیرمعمول ترین جنبه رفتاری این بدافزار است. امروزه استفاده از دستگاههای موبایل بسیار رایج بوده و بنابراین بحث امنیت در این دستگاهها حیاتی میشود.
محصولات Kaspersky ماژول های پلتفرم Regin را با نامهای Trojan.Win32.Regin.gen و Rootkit.Win32.Regin شناسایی میکند.
