网络空间安全近年来日渐成为公众关注的焦点,中科院之声特意邀请业内专家“大东”开设“大东话安全”专栏,以《安天威胁通缉令2016扑克牌》为线索,一张扑克牌对应一个网络病毒,讲述54个不同的网络病毒和网络安全故事,以及如何进行针对性防御的建议。
哈利法克斯:恶意必须披上坦率的外衣,否则它就会暴露无遗。
大东:邪恶必须穿上率直的外衣,否则它只能原形毕露。
小白:我必须紧跟大东前进的步伐,否则容易暴露智商。
Regin是一款多阶段模块化的恶意软件,主要是利用中间人攻击的手法收集数据和持续监视目标组织或个人。它在2014年被发现,被用于攻击10个国家的约100个机构或系统。据推测,该恶意软件由政府机构资助。
Regin和其他APT不太一样,它的目的不仅在于收集重要数据,它也可以用以持续监测某个组织或个人。Regin是被赛门铁克发现的APT威胁。2014年11月发布的一份报告中指出:Regin是一个多阶段的模块化威胁。这意味着它由多个功能相互依赖的组件组成。
Regin的第一阶段,主要目的是将自己写入内存中,用于安装并执行第二阶段驱动程序,负责创建扩展属性。同时比起其他阶段,它是唯一显而易见的代码,比较容易检测到,但也像多米诺骨牌的第一张牌一样,一旦启动,就会连锁启动后续的阶段,并逐步把它们隐蔽起来。
在第五阶段,Regin开始增加网络数据包驱动、安装Rootkit恶意软件等等,为第六阶段做好铺垫。在第六阶段,Regin开始收集计算机信息、窃取密码、收集进程和内存信息,就算是你删除的东西,他们也会进行重新检索。同时还会截获用户鼠标点击功能,从被感染的计算机上捕捉截图,监控网络流量、分析电子邮件等等。
根据赛门铁克发布的Regin报告可以看出,攻击目标包括私营企业、政府机关和研究机构。近半数的感染是个人和小型企业。以及同美国棱镜计划相似,以窃取通话的内容为目的来对电信公司进行攻击。同时感染的地区也非常广,主要来自十个国家,其中俄罗斯和沙特阿拉伯最为严重。
防范这种恶意软件,我们要从源头开始。比如,不要从不正规的网站下载应用。一定要从正规应用市场或者官网上下载。同时注意,只要下载时不安装没有数字签名的软件,就不会感染恶意软件。因为数字签名就像人的身份证一样,而恶意软件的开发者是不敢“实名制”的。
从Regin的复杂设计来看,开发这一恶意软件需要投入大量时间和资源,显然不像是一个人能独自开发的,其背后应该是有组织的,我估计这个组织还不是一般般的二流角色呢!
在网络世界中,人们的安全意识和技能在不断地加强,要想从目标中直接套取信息已经变得非常的困难,Regin就利用中间人攻击的手法,以“半路拦截”的方式收集数据和持续监视目标组织或个人。