Regin恶意软件：何以潜伏如此久?

业界观察家说，Regin恶意软件潜伏了长达五年以上，其被曝光足以突显优化检测方法的必要性。

赛门铁克公司所披露的Regin恶意软件，作为一项长期由国家资助的网络间谍活动的一部分。人们已将Regin与震网(Stuxnet)和火焰(Flame)进行相提并论，它们是两个有史以来最为复杂的恶意软件。创建Regin所需的专业技能毋庸置疑，与此同时安全业界观察家认为Regin再次证明更多的组织和厂商需要聚焦威胁检测而不是防护。

赛门铁克针对Regin的技术分析文章发布于11月末(技术博客是2014年11月23日，白皮书是2014年11月24日)，文中曝光了一个既强大又高度可定制的恶意软件平台。根据赛门铁克的分析，Regin的第一个版本至少从2008年起到2011年就已在被使用，而第二个版本在2013年才被发现。

作为一个模块化恶意软件平台，Regin包含很多相互依存的功能组件。这种设计允许攻击者根据具体目标和情况部署不同的有效载荷。赛门铁克称，这种多阶段加载架构(类似于Stuxnet和Duqu)让人难以分析Regin，因为该恶意软件的所有组件并不能在同一时间使用。

而且不同于许多其他的高级持续威胁(APT)通常专注于收集有价值的知识产权，赛门铁克论文指出了Regin的独特性，因为它面向收集各种非特定数据以及长期秘密监控个人或组织。

“Regin是一个复杂的恶意软件，其结构显示了一定程度罕见的技术能力，”赛门铁克安全响应团队在博客中写到，“极有可能它的开发耗时数月，如果不是以年计，且它的作者不遗余力去掩盖它的踪迹。”

Regin：谁来对此负责?

Regin感染很大程度上冲击了俄罗斯和沙特阿拉伯，而攻击目标中只有较少几个西方国家。目标的位置已使得许多业界观察家将Regin与美国和以色列两国政府进行的操作联系起来，它们都被列为应对伊朗核设施Stuxnet攻击事件负责，尽管没有任何一国政府对此承担责任。

先前出现的证据表明至少可以追溯到2010年，美国与英国情报机构就可能已经使用了Regin。之前美国国家安全局(NSA)承包商Edward Snowden的信息披露已经将英国政府通讯总局(GCHQ)与一次名为Operation Specialist的秘密任务联系到一起，该任务目标为比利时电信公司Belgacom，通过恶意软件允许代理软件收集该公司客户以及公司内部的通信数据。

赛门铁克白皮书

“Regin采用了六个阶段加载的架构。初始阶段安装和配置其内部服务。后续阶段发挥主要载荷作用。本节简要介绍各阶段加载的文件格式和意图。最有趣的阶段是存储可执行文件和数据文件的第四、五阶段。初始的第一阶段驱动是机器上唯一明文可见的代码。所有其他阶段都存储为加密的数据，作为一个文件或在非传统文件存储区域内，如注册表、扩展属性或是磁盘末的原始扇区。”

针对Belgacom的恶意软件，当时尚属未知，之后被确定为同样见于NSA针对欧盟多个国家开展行动时所采用的手法。德国咨询公司Fox-IT安全，负责清除Belgacom网络中的该恶意软件。其创始人兼CTO，Ronald Prins，在与The Intercept的一次访谈中提及，该恶意软件是他见过最为复杂的一个，并且可以得出了关于其创造者的结论。

Prins告诉The Intercept，“分析了该恶意软件以及查看Snowden文档，我确信是英国和美国情报服务部门在使用Regin。#p#

Regin是如何避开检测的?

Regin的突出不仅在于它的复杂特性集，还在于它之前至少有五年未被检测到。只是这个恶意软件是如何能远离安全厂商和专家的雷达，尤其是他们中那些负责发现和分析这类威胁的?

尽管赛门铁克上周(技术博客是2014年11月23日)首次公布了Regin的存在，Big Yellow、微软以及F-Secure也都承认早在2009年就首次识别到了Regin组件，从而使得有人猜测，不是防恶意软件厂商故意选择不面向公众披露Regin，就是很长时间根本没有意识到这些组件的价值。

ThetaRay是一家致力于关键基础设施防护的以色列公司，该公司CEO，Mark Gazit认为Regin的命令与控制(C&C)基础架构是逃避检测的核心。Gazit指出，Regin依赖于诸如HTTP cookie中的内置命令以及自定义TCP与UDP协议等合法通信信道，这有利于攻击者尝试隐藏恶意活动。一个组织原有必要能查看所有的数据特征、同时进行分析以确定哪些是不正常的。

Gazit认为同样重要的是，Regin的模块化特性有助于逃避检测，因为Regin身后的攻击者可以面向特定的目标自定义该恶意软件。由于如此多的安全产品仍然依赖于签名技术进行检测，那么恶意软件代码中即使是小的改动也有助于绕过许多组织赖以发现攻击的技术。

Gazit还认为：“这种模块化能力进一步解释了为什么现有安全技术发现不了Regin。攻击越来越错综复杂的这一事实令人担忧，也呼吁新的安全概念化创新，这样才可能几分钟内发现类似Regin这样的复杂攻击，而不是耗时数月或数年。”

ZeroFox是一家安全创业公司，总部在马里兰州巴尔的摩。公司副总裁Ian Amit指出Regin的“俄罗斯玩偶”架构作为恶意软件能藏匿于组织网络中的一种手段。Regin总共采用六个阶段实现目标机器感染，这不包括尚未识别的Dropper。初始阶段解压缩、安装并运行内核驱动，这是服务于第三阶段，在第三阶段Regin的实际功能才开始输出。

Regin的主要载荷直到第五阶段才被加载，这意味着初始感染在更早阶段发生。Amit补充说，Regin作者为多个阶段的部署采用了加密手段，这使得终端安全与其他检测技术在对抗中处于劣势。

“Regin凸显了优化运维安全的需求，将其作为组织风险管理方法的一部分。”Amit通过邮件说，“利用人的因素最小化攻击面以及长期监控变更，这两种能力对于对抗持续威胁都至关重要。”

Regin：是否应当引起企业关注?

尽管该恶意软件已被用于攻击如俄罗斯、沙特阿拉伯及墨西哥这样的政府机构，专家警告说Regin(或者至少它的元素)在将来可能会针对更多的西方国家。

Coretelligent是一家总部在马萨诸塞州尼德姆的公司。其技术副总裁Chris Messer认为，尽管目前Regin对美国政府或总部在美国的企业尚不构成威胁，但该恶意软件可能被其他国家实施逆向工程并用于窃取敏感信息。

Messer还说，“认为这些工具不可能被轻易重新利用或重新部署用于攻击我们的盟友或甚至是个别的商业领袖、政治目标或公民，这种想法太单纯。”

ThetaRay的Gazit同意Regin可能被攻击者实施逆向工程，他们能够剪切和粘贴他们自己的模块到这个平台中，尽管“普通黑客和网络罪犯”此刻还不太可能理解Regin精巧的代码。

还有，与震网和火焰被曝光后极为相似，Gazit认为随着时间推移，个别特性将陆续进入到日常的漏洞利用攻击工具集。Gazit补充说，Regin采用的感染方法就是这样一个特性。为了能下载模块到一个已被感染的系统中，Regin创建了一个简单后门，然后连接用户到一个虚假的LinkedIn页面，这样不会触发大多数组织内的安全告警。Regin接着能从这个恶意页面下载载荷。

Gazit还说：“对于网络罪犯，考虑高转化率始终是一个他们持续努力提升的数字游戏，如适当调配感染的机器。而Regin特性正是他们可能会设法插入自己代码的那类。”