آنالیز بدافزار Regin
|
توسط: علي اصغر جعفري لاري - يکشنبه ٩ آذر ١٣٩٣ ساعت ٢٢:٢٤
|
|
|
|
برچسب ها:
آناليز
بدافزار
Regin
ويروس Regin
بدافزار مخرب
|
||
مقدمه
در بهار سال 2012، آزمایشگاه کسپرسکی حقایقی را درباره بدافزار Duqu آشکار نمود و این بار، این آزمایشگاه جزء نخستین آزمایشگاه هایی بود که بررسی بدافزار Regin را که در حال حاضر بسیاری از مدیران امنیتی سازمان های دولتی در سراسر جهان را مورد هدف قرار داده است، ارائه نمود. از آنجا که منابع فارسی زبان کمتر به این موضوع پرداخته اند، اینجانب آنالیز این بدافزار را برای علاقه مندان به این حوزه، شرح خواهم داد.
مقدمه
در بهار سال 2012، آزمایشگاه کسپرسکی حقایقی را درباره بدافزار Duqu آشکار نمود و این بار، این آزمایشگاه جزء نخستین آزمایشگاه هایی بود که بررسی بدافزار Regin را که در حال حاضر بسیاری از مدیران امنیتی سازمان های دولتی در سراسر جهان را مورد هدف قرار داده است، ارائه نمود. از آنجا که منابع فارسی زبان کمتر به این موضوع پرداخته اند، اینجانب آنالیز این بدافزار را برای علاقه مندان به این حوزه، شرح خواهم داد.
به گفته محققین آزمایشگاه کسپرسکی: از دو سال پیش، بدافزارهای گریزان و مرموزی را با چندین پویشگر مختلف ردیابی کرده بودیم اما نمونه های این بدافزار با یکدیگر نامرتبط و فاقد متن بودند. اولین نمونه ناشناخته بدافزار، Regin بود که در برخی از آنها با تحقیقات انجام شده، قدمتی از سال 2003 دارد.
قربانیان بدافزار Regin در دسته های زیر قرار می گیرند:
- اپراتورهای مخابراتی
- نهادهای دولتی
- بدنه های سیاسی چند ملیتی
- موسسات مالی
- موسسات تحقیقاتی
- افراد درگیر در تحقیقات رمزنگاری/ریاضی پیشرفته
تا کنون، ما دو هدف اصلی از حمله را مشاهده کرده ایم:
- جمع آوری اطلاعات
- تسهیل در پیاده سازی انواع حملات دیگر
در حالی که در بسیاری از موارد، نفوذگران بر استخراج اطلاعات حساس از جمله ایمیل ها و اسناد تمرکز دارند، ما مواردی همچون مورد هدف قرار دادن اپراتورهای مخابراتی را شاهد بوده ایم که این امر باعث می شود که حملات اضافی و پیچیده ای نیز راه اندازی شود.
شاید یکی از شناخته ترین قربانیان این بدافزار، Jean Jacques Quisquater باشد که یک رمزنویس شناخته شده بلژیکیست. در فوریه 2014، این شخص اعلام کرد که قربانی یک نفوذ سایبری پیچیده شده است. با تحقیقات انجام شده متوجه شدیم که این شخص، قربانی پلت فرم Regin شده است.
یکی دیگر از قربانیان این بدافزار، کامپیوتری به نام "The Magnet of Threates" می باشد که متعلق به یک موسسه تحقیقاتیست و توسط بدافزارهایی همچون Turla، Mask/Careto، Regin، Itaduke، Animal Farm و برخی دیگر از تهدیدات، مورد هدف قرار گرفته بود.
خطر اولیه و حرکت جانبی
روش دقیق در خطر انداختن اولیه این بدافزار، مرموز باقی مانده است اگرچه چند نظریه در این رابطه وجود دارد از جمله حملات MitM با اکسپلویت های زیرزمینی و خصوصی در رابطه با مرورگرهای وب. به گفته آزمایشگاه کسپرسکی: برخی از ابزارها و ماژول هایی را مشاهده کرده ایم که برای یک حرکت جانبی طراحی شده بودند. ماژول های مکرری که از راه دور با استفاده از اشتراکات مدیریتی ویندوز کپی می شوند و سپس اجرا می شوند. آشکارست که این روش نیازمند دسترسی با امتیاز مدیر در شبکه قربانیست و نتیجتا مورد هدف قرار دادن دستگاه های آلوده.
پلت فرم Regin
به طور خلاصه، Regin یک پلت فرم حمله سایبری است که نفوذگران در شبکه های قربانی آن را مستقر کرده اند تا تمام سطوح امکان پذیر را از راه دور کنترل نمایند.
این پلت فرم دقیقا مدولار است و دارای مراحل متعدد:
نخستین مرحله (stage 1)، به طور کلی تنها فایل قابل اجراییست که به نظر می رسد در سیستم قربانیست. علاوه بر این، یا به طور مستقیم بروی هارد (سیستم های 64bit)-به عنوان NTFS- ذخیره می شود و یا در نهادهای رجیستری.
دومین مرحله، اهداف چندگانه ای دارد و می تواند آلودگی Regin را از سیستم در صورتی که در مرحله 3 برنامه ریزی شده باشد، حذف کند.
همچنین مرحله دوم، یک نشانگر فایل را می سازد که می تواند برای شناسایی دستگاه آلوده مورد استفاده قرار گیرد. نام فایل های شناخته شده برای این نشانگر به شرح زیر است:
%SYSTEMROOT%\system32\nsreg1.dat
%SYSTEMROOT%\system32\bssec3.dat
%SYSTEMROOT%\system32\msrdc64.dat
در مرحله سوم، فقط سیستم های 32bit مورد هدف قرار می گیرد. هوشمندی این بدافزار طوریست که اگر سیستم قربانی 64bit نباشد، مستقیما به مرحله سوم حرکت کند. توزیع کننده یا Dispatcher در مرحله دوم بارگذاری می شود.
مرحله چهارم- توزیع کننده یک ماژول واحد بسیار پیچیده از تمام پلت فرم است. این توزیع کننده، هسته user-mode چارچوب است. این توزیع کننده، مستقیما روند خود راه انداز 64bit را در مرحله سوم بارگذاری می کند و یا از VFS به عنوان ماژول 50221 به عنوان مرحله چهارم برای سیستم های 32bit اجرا و بارگذاری می شود.
این توزیع کننده از وظایف بسیار پیچیده پلت فرم Regin مراقبت می کند همچون ارائه API برای دسترسی به سیستم فایل مجازی، ارتباطات پایه و توابع ذخیره سازی در زیر روال های انتقال شبکه. در اصل، توزیع کننده، مغزی است که کل پلت فرم Regin را اجرا می کند.
(Virtual File Systems (32/64-bit
جالب توجه ترین کد پلت فرم Regin در ذخیره سازی فایل رمزگذاری شده که با عنوان Virtual File Systems یا VFSes شناخته می شود، ذخیره می شود.
ماژول های غیر معمول
با گروهی از APTهای نهایی که در پشت این بدافزار قرار دارند، اشتباهات خیلی نادر است. با این وجود، ممکن است اشتباهی نیز رخ دهد. برخی از VFSes هایی که آزمایشگاه کسپرسکی آنالیز کرده است، به واژه هایی در ماژول مستقر شده سیستم قربانی، برخورد کرده است:
legspinv2.6 and LEGSPINv2.6
WILLISCHECKv2.0
HOPSCOTCH
ماژول دیگری که پیدا شده است، یک نوع پلاگین با شماره 55001.0 است که نام کد دیگر به U_STARBUCKS اشاره دارد:
ردیابی GSM
جنبه جالب دیگر در مورد Regin، به آلوده کردن اپراتور GSM به صورت گسترده مربوط می شود.
مطابق با اسنا GSM در آدرس http://www.telecomabc.com، کنترل کننده ایستگاه پایه یا BSC، در کنترل و سرپرستی تعدادی از ایستگاه های فرستنده و گیرنده پایه یا BTS قرار دارد. BSC، مسئول تخصیص منابع رادیویی به تماس های موبایل و تحویل بخشی است که بین ایستگاه های پایه تحت کنترل خود ساخته شده است، می باشد. همچنین مسئول تحویل بخشی تحت کنترل MSC می باشد.
در اینجا نگاهی می اندازیم به رمزگشایی ثبت فعالیت های بدافزار Regin:
سایز این لاگ حدود 70 کیلوبایت است و حاوی صدها نهاد مثل آنچه که در بالا اشاره شد می باشد. همچنین شامل مهر زمانی می باشد که نشاندهنده این است که دقیقا دستور چه زمانی اجرا شود.
در اینجا لیستی از برخی دستورات صادر شده بروی کنترل کننده ایستگاه پایه را مشاهده خواهیم کرد:
شرح برخی دستورات:
- rxmop - بررسی نوع نسخه نرم افزار
- rxmsp - لیست جاری تنظیمات فوروارد تماس های ایستگاه های موبایل
- rlcrp - لیست تنظیمات فوروارد تماس ها برای کنترل کننده ایستگاه پایه
- rxble - فعال کردن (unblock) فوروارد تماس ها
- rxtcp - نشان دادن گروه فرستنده و گیرنده ی تلفن همراه های خاص
- allip - نشان دادن آلارم های خارجی
- dtstp - نشان دادن تنظیمات DIP
- rlstc - فعال کردن تلفن همراه ها در شبکه GSM
- rlstp - متوقف کردن تلفن همراه ها در شبکه GSM
- rlmfc - اضافه کردن فرکانس ها به لیست تخصیص کانال کنترل پخش فعال
- rrtpp - نشان دادن جزییات کدگذار انتقالات رادیویی
البته این تنها دستورات این بدافزار نیست، بلکه سرقت نام های کاربری و کلمات عبور نیز با دستورات دیگر اجرا می شود.
آماری درباره کشورهای قربانی
در طول دو سال گذشته، آمارهای مختلفی توسط آزمایشگاه کسپرسکی درباره این حملات جمع آوری شده است. قربانیان این بدافزار، 14 کشور زیر می باشد:
- الجزایر
- افغانستان
- بلژیک
- برزیل
- فیجی
- آلمان
- ایران
- هند
- اندونزی
- کیریباتی
- مالزی
- پاکستان
- روسیه
- سوریه
مورد هدف قرار دادن کشورهای بسیار کوچک فیجی و کیریباتی غیرمعمول است و به ندرت انتظار اجرای این بدافزار در این کشورها خواهیم بود اما بالاخره در لیست مورد هدف قرار دادن این بدافزار و همچنین در لیست محققین و پژوهشگران سایبری، این دو کشور نیز قرار گرفته اند.
 |
مجتبی مومنی
١٣٩٣/١٠/٠٦ ساعت ٢١:٥٩ جالب بودبه اطلاعت من افزوده شد.
|
|
مجتبی مومنی
١٣٩٣/١٠/٠٦ ساعت ٢١:٥٩ جالب بودبه اطلاعت من افزوده شد.
|
 |
کیا حامدی
١٣٩٣/١١/٢٨ ساعت ١٨:٠٢ خيلي عالي بود با تشکر از نويسنده محترم براي ترجمه اين مطلب مفيد
|
| ثبت نظر جدید | |
| ثبت |
