Regin：高级持续安全威胁的新复杂性

11 月底，三大防病毒供应商发布了他们认为迄今为止发现的最复杂病毒的详细信息。但将 Regin 称为病毒有点低估了它的能力。由于其复杂性，将其称为一个妥协平台更为合适，该平台允许其作者（可能得到一个或多个民族国家的支持）通过各种方法收集情报。

虽然 Regin 的受害者似乎仅限于某些国家的政府、研究、金融、移动电话服务提供商和学术机构，但其收集信息的复杂性和熟练程度以及长时间不被发现的情况应该引起我们所有人的关注。

逐步注册

安装过程分为五个阶段，从 Windows 服务或驱动程序开始。然后，更多的代码被安装，巧妙地隐藏和加密在 NTFS 扩展属性中，或具有 FAT/FAT32 卷的设备上的注册表中；或者在 64 位系统上最后一个磁盘分区的末尾。

32 位版本有第三个阶段，使用驱动程序创建虚拟文件系统 (VFS)，其中文件被加密以隐藏 Regin 的活动。没有64位第三阶段，直接加载第四阶段的调度程序模块。用户模式调度程序 DLL 构成了 Regin 的核心，并提供了与 VFS 交互、运行插件、加密和网络功能的基础。

最后阶段是一系列用于收集数据的插件，其中一些来自广泛的列表，包括：

• HTTP/SMTP/SMB 凭据嗅探器
• 键盘记录器和剪贴板嗅探器
• 用户登录和模拟
• 用户和域名嗅探器
• 网络共享枚举和操作
• Windows 事件日志阅读器
• NDIS 过滤器
• 代码注入和hook
• Microsoft Exchange Server 数据提取

为了避免被发现，Regin 受害者和攻击者之间的网络流量被加密。它还在受感染的网络上建立点对点网络，限制需要发送回攻击者的数据量，再次有助于逃避检测。

假证书

64 位系统上第一阶段所需的模块是由伪造的证书签名的，这些证书似乎来自 Microsoft 和 Broadcom，以使它们看起来像是真实的。通过将证书颁发机构 (CA) 插入到每个设备上的证书链中，Regin 的文件受到本地系统的信任。

这很重要，因为添加 CA 证书是可以检测到的更改，而 Regin 的许多其他活动则更难发现。与 Windows 注册表和文件系统的更改不同，证书存储的修改很少，因此易于审核。

预防策略

最初的入侵方法尚不清楚，但 Regin 使用管理共享在网络中移动，并且在 Active Directory 域控制器上发现，这表明具有管理权限的员工很可能无意中成为基于 Web 或电子邮件的攻击的目标。

那么如何防止像 Regin 这样的威胁感染您的网络安全呢？

1. 部署 64 位 Windows 并删除用户的管理权限
2. 使用足够的管理 (JEA)
3. 实施应用程序白名单
4. 审核服务器和最终用户设备上的关键系统配置
5. 不要仅仅依赖防病毒软件和防火墙