Tag Archives: malware

Regin と呼ばれるこの高度なマルウェアは、少なくとも 2008 年以降、世界のさまざまな標的に対する組織的なスパイ活動に利用されています。Regin はバックドア型のトロイの木馬であり、その構造から類を見ない技術力が伺える複雑なマルウェアです。標的に応じてさまざまな機能をカスタマイズできるため、攻撃者にとって大規模な監視活動を行うための強力なフレームワークであり、政府機関、インフラ運営組織、企業、研究者、個人を狙ったスパイ活動に利用されています。

開発には年単位、または少なくとも月単位の期間を要したと考えられ、その痕跡を隠すために開発者は努力を惜しまなかったようです。その機能や豊富なリソースから、Regin は国家によって使用されている主要なサイバースパイツールの 1 つだと思われます。

Backdoor.Regin はホワイトペーパー（英語）で説明されているように、多段階型の脅威であり、第 1 段階を除いて、各段階は隠蔽されて暗号化されています。第 1 段階が実行されると、全部で 5 段階からなる後続の段階が順に復号されてロードされる仕組みです。個々の段階からは、パッケージの全体に関する情報はほとんど得られません。5 つの段階のすべてを入手して初めて、この脅威の分析と理解が可能になるのです。

図 1. Regin の 5 つの段階

また、Regin はモジュール型の手法を採用しているため、標的に応じて用意されたカスタム機能をロードすることができます。この手法は、Flamer や Weevil（The Mask）といった高度なマルウェアファミリーでも見られるものです。また、多段階にロードされる構造は、Duqu や Stuxnet で採用されているものに類似しています。

活動の時系列と標的のプロファイル
Regin の感染は 2008 年から 2011 年にかけて、さまざまな組織で確認されていましたが、その後、突然活動を休止しています。2013 年になって、マルウェアの新しいバージョンによる活動が再開されました。標的には、民間企業、政府機関、研究機関が含まれます。感染のほぼ半数は、個人や小規模企業を標的とするものです。通信会社に対する攻撃は、各社のインフラを経由する通話にアクセスすることを狙ったものだと思われます。

図 2. Regin の感染件数の業種別内訳

感染は地理的にも分散していて、主に 10 カ国で確認されています。

図 3. Regin の感染件数の国別内訳

感染経路とペイロード
感染経路は標的によって異なり、このブログの執筆時点で、再現可能な経路は確認されていません。一部の標的は、有名な Web サイトに偽装したサイトにアクセスするように仕向けられた後に、Web ブラウザを介して、またはアプリケーションを悪用されて、この脅威がインストールされたと考えられます。あるコンピュータのログファイルには、未確認の悪用コードによって Yahoo! Instant Messenger から Regin が侵入した痕跡が記録されていました。

Regin はモジュール型の手法を採用しているため、攻撃者は、必要に応じて個々の標的に合わせたカスタム機能をロードすることが可能です。一部のカスタムペイロードは非常に高度な機能を備え、特定分野における高い技術力を示していることから、開発者が高水準のリソースを抱えていることを重ねて証明しています。

Regin には、数十種類ものペイロードが存在し、リモートアクセス型のトロイの木馬（RAT）のさまざまな機能を標準で装備しています。たとえば、スクリーンショットの撮影、マウスのポイントアンドクリック操作の制御、パスワードの窃取、ネットワークトラフィックの監視、削除済みファイルの復元などの機能です。

Microsoft IIS Web サーバーのトラフィックを監視したり、携帯電話の基地局コントローラの管理トラフィックを盗聴したりするなど、さらに特化された高度なペイロードモジュールも確認されています。

ステルス性
Regin の開発者は、この脅威が人目に付かずに活動できるように相当な労力を費やしています。目立たないということは、何年間にもわたる持続的なスパイ活動に利用できるということです。存在が検出されたとしても、どのような活動を実行しているかを確認するのは非常に難しく、今回も、ペイロードがサンプルファイルを復号してようやく、ペイロードを分析することができました。

「ステルス」機能として備えられているのは、フォレンジック対策機能、カスタム開発された暗号化仮想ファイルシステム（EVFS）、RC5 の亜種という通常使われているものとは別の暗号化方式などです。また、攻撃者と秘密裏に通信するために、ICMP の ping、HTTP cookies に埋め込まれたコマンド、カスタムの TCP プロトコルと UDP プロトコルなど、複数の高度な手法を使用しています。

まとめ
Regin は非常に複雑な脅威であり、組織的なデータ収集活動や情報収集活動に利用されています。開発と運用には膨大な時間とリソースを投資する必要があることから、背後に国家が存在すると考えられるでしょう。標的に対して、長期間にわたり執拗に監視活動を実行するうえで非常に適した設計になっています。

Regin が発見されたことで、情報収集活動に利用するツールを開発するために、膨大な投資が継続的に実行されていることが明らかになりました。Regin には、まだ見つかっていないコンポーネントが多数あり、その他の機能や別のバージョンが存在する可能性があります。シマンテックは今後も分析活動を継続し、新しい発見があり次第、情報を提供する予定です。

追加情報
侵害の兆候や、さらに詳しい技術情報については、ホワイトペーパー『Regin: Top-tier espionage tool enables stealthy surveillance（Regin: 人目に付かずに監視活動が可能な最悪のスパイツール）』（英語）を参照してください。

保護対策
シマンテック製品およびノートン製品は、この脅威を Backdoor.Regin として検出します。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Um malware avançado conhecido como Regin foi utilizado em campanhas sistemáticas de espionagem contra uma variedade de alvos internacionais desde, pelo menos, 2008. Considerado um Cavalo de Tróia do tipo Backdoor, o Regin é um malware complexo, cuja estrutura exibe um grau de competência técnica raramente encontrado. Customizável através de uma ampla gama de capacidades, dependendo do alvo, ele oferece aos controladores um framework poderoso para vigilância em massa, e foi utilizado em operações de espionagem contra organizações governamentais, operadores de infraestrutura, empresas, pesquisadores e indivíduos.

É provável que seu desenvolvimento tenha consumido meses, ou até mesmo anos, até ser concluído, e seus autores se empenharam em apagar seus rastros. Suas capacidades e o nível dos recursos por trás do Regin indicam que ela é uma das principais ferramentas de ciberespionagem utilizadas por um Estado-nação.

Conforme destacado em um novo relatório técnico da Symantec, o Backdoor.Regin é uma ameaça de múltiplos estágios, e cada um deles está escondido e criptografado, com exceção do primeiro. A execução do primeiro nível inicia uma cadeia em dominó de decodificação e carregamento de cada estágio subsequente, em um total de cinco. E assim eles fornecem poucas informações sobre o pacote completo. Somente ao obter todos os cinco estágios é possível analisar e entender a ameaça.

Figura 1. Os cinco estágios do Regin

O Regin também utiliza uma abordagem modular, permitindo que carregue recursos customizados sob medida para o alvo. Esta abordagem modular foi vista em outros grupos sofisticados de malware, como Flamer e Weevil (The Mask), enquanto a arquitetura de carregamento em múltiplos estágios é semelhante à vista na família de ameaças Duqu/Stuxnet. 

Linha do tempo e perfil do alvo

Infecções por Regin foram observadas em uma variedade de organizações entre 2008 e 2011, quando ele foi repentinamente recolhido. Uma nova versão do malware reapareceu em 2013. Entre os alvos estão empresas privadas, órgãos governamentais e institutos de pesquisa. E quase metade de todas as infecções foi dirigida a indivíduos e pequenas empresas. Ataques contra empresas de telecomunicações parecem projetados para obter acesso a ligações direcionadas ao longo de sua infraestrutura.

Figura 2. Infecções confirmadas por Regin por setor

As infecções também foram geograficamente variadas, tendo sido identificadas principalmente em dez países diferentes

Figura 3. Infecções confirmadas por Regin por país

Vetor de infecção e payloads

O vetor de infecção varia e nenhum vetor reprodutível foi encontrado até o momento. A Symantec acredita que alguns alvos podem ser enganados e levados a visitar versões falsas de sites conhecidos, além de a ameaça poder ser instalada através de um navegador ou pela exploração de uma aplicação. Em um computador, os arquivos de registro mostraram que o Regin foi originado no Yahoo! Instant Messenger através de uma exploração não-confirmada.

A ameaça utiliza uma abordagem modular, dando flexibilidade aos operadores, que podem carregar recursos customizados sob medida para alvos individuais, conforme necessário. Alguns payloads customizados são muito avançados e apresentam um alto grau de conhecimento em setores especializados, indicação maior do nível de recursos disponíveis aos autores do Regin.

Há dezenas de payloads do Regin. As capacidades padrão da ameaça incluem diversos recursos de Trojan de Acesso Remoto (RAT), como captura de imagens de tela, tomada de controle das funções de apontar e clicar do mouse, roubo de senhas, monitoramento do tráfego da rede e recuperação de arquivos apagados.

Módulos de payload mais específicos e avançados também foram descobertos, como um monitor de tráfego do servidor de web Microsoft IIS e um sniffer de tráfego da administração de controladores de estações base de telefonia móvel.

Furtivo
Os desenvolvedores do Regin empenharam esforços consideráveis para torná-lo extremamente discreto. Sua natureza discreta significa que pode potencialmente ser empregado em campanhas de espionagem com diversos anos de duração. Mesmo quando sua presença é detectada, é muito difícil determinar o que estava fazendo. A Symantec só foi capaz de analisar os payloads depois de decodificar arquivos de amostra.

Ele tem vários recursos “furtivos”. Entre eles, capacidades anti-forenses, um sistema de arquivo virtual criptografado sob medida (EVFS), e criptografia alternativa na forma de uma variação do RC5, que não é comumente usada. A ameaça usa diversas formas sofisticadas para se comunicar secretamente com o atacante, inclusive através de ICMP/ping, integrando comandos em cookies HTTP, e protocolos TCP e UDP customizados.

Conclusões
O Regin é uma ameaça extremamente complexa que foi utilizada em campanhas de coleta sistemática de dados e de inteligência. O desenvolvimento e a operação deste malware devem ter exigido investimentos significativos de tempo e recursos, indicando que um Estado-nação seja o responsável pelo malware. Seu design o torna perfeito para operações de vigilância persistentes, de longo prazo, contra os alvos.

A descoberta do Regin destaca como investimentos significativos continuam sendo feitos para o desenvolvimento de ferramentas para uso na coleta de inteligência. A Symantec acredita que muitos componentes da ameaça continuam desconhecidos e devem existir funcionalidades e versões adicionais. As análises adicionais continuam e a Symantec publicará quaisquer atualizações sobre futuras descobertas.

Leitura adicional

Indicadores de comprometimento para administradores de segurança e informações técnicas mais detalhadas podem ser encontrados em nosso relatório técnico – Regin: Top-tier espionage tool enables stealthy surveillance

Informações de proteção

Produtos Symantec e Norton detectam esta ameaça como Backdoor.Regin.