مروری بر گزارش امنیتی سیمانتیک در موردِ بدافزارِRegin

ارسال شده در امنیت در توسط

ابزارِ جاسوسی سطح بالا با امکانِ نظارتِ نامحسوس

خیلی از ما هنوز داستان‌هایِ مربوط به استاکس‌نت و فلیم (Felame) را به یاد داریم، بدافزارهایِ پیچیده‌ای که برایِ اهداف و موقعیت‌هایِ خاصی طراحی شده بودند، بدافزارهایی که جهان از دیدنِ پیچیدگی‌هایِ آن‌ها شکه شده بود و شاید بتوان گفت اولین نمونه‌یِ رسمی از بدافزارهایی به حساب می‌آیند که توسط دولت‌ها و یا سازمان‌هایِ بزرگِ جاسوسی برایِ اهدافِ سیاسی و نظامی استفاده شده‌اند.
روزِ گذشته نوعی جدیدی از این ویروس‌هایِ شبهِ دولتی معرفی شد که شاید بتوان آن را تکامل‌یافته‌ترین بدافزارِ موجود نامید. این بدافزار دارایِ طیفِ بسیار زیادی از قابلیت‌ها و پیچیدگیِ فوق‌العاده زیادی است و می‌تواند ساختارِ خود را با موقعیتِ قربانی تطبیق دهد. قابلیت استتار این تروجان در سیستم به حدی است که هیچ نمونه‌یِ مشابهی برایِ آن نمی‌توان یافت، این تروجان با نفوذ به سیستم شروع به جمع‌آوری اطلاعات کرده بدونِ اینکه خطری متوجهِ خودِ تروجان باشد.

هدفِ اصلیِ این تروجان کشف و جمع‌آوریِ داده‌هایِ حساس و با اهمیت در سازمان‌هایِ دولتی، شبکه‌هایِ زیرساخت، کسب و کارهایِ کوچک، دانشگاه‌ها و افراد حقیقی است. بررسی این بدافزار نشان می‌دهد که این برنامه توسط تیم بسیار قدرتمندی از توسعه‌دهندگان، در طیِ سالیانِ متوالی توسعه داده شده و نگهداری شده است. در نمودارِ زیر می‌توانید پراکندگی این بدافزار در گروه‌هایِ هدفِ قربانی را مشاهده کنید.

1

این تروجان به صورت بسیار هوشمندانه‌ای ماژولار طراحی‌شده و بسته به سیستمِ قربانی، موقعیتِ جغرافیایی و یا نوعِ کاربردِ سیستم می‌تواند ماژول‌هایی فعال یا غیرفعال داشته باشد. ساختارِ ماژولارِ بسیار هوشمندِ این بدافزار مانع از درک کاملِ رفتارِ آن می‌شود و برایِ پی بردن به تمامیِ توانایی‌های این برنامه نیاز است تا تمامیِ ماژول‌هایِ آن موردِ شناسایی قرار بگیرند.
این بد افزار ازنظر ماژولار بودن شبیه به خانواده‌یِ Flamer می‌باشد و ازنظر پیاده‌سازی چندلایه ای تا حد زیادی می‌توان را با Stuxnet مقایسه کرد. درواقع این بدافزار نمونه‌ای بسیار پیشرفته‌تر از عجیب‌ترین و قوی‌ترین بدافزارهایی است که تا کنون شناسایی شده.
این بدافزار همانند بدافزارهایِ سنتیِ هم رده‌یِ خود تنها با هدفِ پخش شدن و جمع آوریِ حجمِ زیادی از داده‌ها طراحی نشده، بلکه هدفِ آن نفوذ به سیستم‌هایِ خاص در مراکزی خاص و پیدا کردن اطلاعات بسیار حیاتی است. در نمودارِ زیر می‌توانید پراکندگی جغرافیایی این بدافزار را ببینید، لازم به ذکر است با توجه به اینکه بیشترین قربانیان افرادِ حقوقی و سازمان‌هایِ کوچک بوده‌اند و در این ایران استفاده از آنتی‌ویروس‌هایِ اورجنال چندان مرسوم نیست، در نتیجه انتظار می‌رود سهمِ ایران چیزی بیشتر از مقدارِ تخمین زده شده توسطِ شرکتِ سیمانتیک باشد.

2

این تروجان می تواند به صورت بسیار سفارشی برایِ قربانی خود الحاقاتی را به خود اضافه کند، تعدادِ این الحاقات بسیار زیاد است و هر کدام از آن‌ها توانایی انجامِ کاری را به بدافزار می‌دهند و این به صورت بسیار هوشمندانه‌ای به سیستمِ قربانی بستگی دارد. توانایی‌هایِ عادیِ بدافزار بدونِ اضافه شدنِ این الحاقات عبارتند از:

  • امکان تصویربرداری از صفحه
  • نظارت بر حرکت موس، کلیک و رویدادهایِ مرتبط با موس
  • امکانِ دزدیدنِ کلماتِ عبور
  • نظارت بر ترافیکِ شبکه
  • جمع آوری داده در حافظه
  • امکانِ بازیابی و ارسالِ اطلاعاتِ حذف شده از سیستم

همچنین ماژول‌هایِ اختصاصی طراحی شده برایِ کاربردهایِ خاص نیز وجود دارد مثلاً ماژولی برایِ خواندنِ ایمیل‌ها از سیستمِ Microsoft Exchange و یا ماژولی برایِ نظارت بر IIS.

این بدافزار به صورت چندلایه طراحی شده و معماری‌ای شش مرحله‌ای دارد.مراحلِ اولیه شاملِ نصب، پیکربندی و راه‌اندازیِ سرویس‌هایِ داخلیِ مربوطه است، در گامِ بعدی بدافزار شروع به شناساییِ سیستمِ قربانی کرده و در گام‌هایِ چهارم و پنجم بدافزار آماده‌ی اجرا و جمع آوری داده است.
تنها در مرحله‌ی اول می‌توان به سادگی کدِ مخرب را در سیستم مشاهده کرد و بعد از آن در تمامیِ گام‌ها اطلاعات به صورتِ بسیار پیشرفته‌ای رمزنگاری شده و رفتارِ بدافزار به گونه‌ای متفاوت از نمونه‌هایِ سنتیِ بدافزار است و عملاً قابلِ کشف شدن نمی‌باشد.

3
ترتیب و نحوه‌یِ اجرایِ این گاها در تصویرِ زیر نمایان است.

regin

در نهایت اینکه این بد افزار یکی از قوی‌ترین انواعِ بدافزارهایی است که تا امروز موفق به کشفِ آن شده‌ایم و با توجه به نوعِ فعالیت‌هایِ آن و همچنین توجه به این نکته که سرمایه‌گذاریِ بسیار زیادی برایِ تولید و توسعه‌یِ این بدافزار شده است، توصیه می‌شود تمامِ افرادی که در جامعه‌یِ هدفِ این بد افزار قرار دارند هر چه سریع‌تر نسبت به دریافتِ بسته‌هایِ موجود برایِ کشف و مهارِ این بدافزار استفاده کنند.
تمامیِ اطلاعاتِ فنی در موردِ این بدافزار را می‌توانید در گزارشِ امنیتیِ سیمانتیک که در این آدرس آمده است مشاهده کنید.

پ ن ۱: این یک گزارش فنی نیست و تنها مروری است کلی و عمومی.

پ ن ۲: در صورت امکان به زودی گزارش تکمیلی ارسال خواهد شد.

پ ن ۳: لطفا اشتباهات تایپی و نگارشی و یا فنی این متن را گزارش کنید.

رامین نجارباشی
برنامه نویس پایتون
علاقه مند به امنیت، لینوکس و نرم افزار آزاد…
http://blog.najarbashi.ir

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *