Regin Virüsü
Regin Virüsü
Regin olarak bilinen malware gelişmiş parçası, en az 2008 den beri bir arka kapı tipi (Truva) olarak uluslararası hedeflere bir dizi karşı sistematik casusluk kampanyalarında kullanıldı.
Reginin yapısı, teknik oalrak malware in nadir görülen karmaşık bir parçasıdır.
Amacı
Hükümet kuruluşları
Altyapı operatörleriİ
İşletmeler
Araştırmacılar
Özel şahıslara a karşı casusluk operasyonlarında kullanılmıştır.
Genel olarak çalışma mantığı
Çok aşamalı bir tehdit olup, her bir kademe, birinci aşama haricinde, saklı ve şifrelenir. Birinci aşama işlem yapılması beş aşamadan toplam şifre çözme ve her bir sonraki aşamada bir yükleme domino zinciri başlar. Her bireysel sahne komple paket küçük bilgi sağlar. Sadece beş aşamadan mümkün analiz ve tehdit anlamaktır.
Regin de hedefe uygun özel özellikleri yüklemek için izin, modüler bir yaklaşım kullanır. Bu modüler yaklaşım gibi diğer gelişmiş malware ailelerinde degörülmüştür Önişlem ve böceği çok aşamalı yükleme mimarisinde görülen benzer (Maske) Duqu / Stuxnet tehditler ailesi.
Gizliliği
Onun varlığı tespit edildiğinde bile, onun ne yaptığını tespit etmek çok zordur. Bu örnek dosyaları deşifre ettikten sonra Symantec verileri analizi başardı.
Regin birkaç “gizli” özelliklere sahiptir. Bu anti-forensics yetenekleri, özel yapılmış şifreli sanal dosya sistemi (EVFS), ve yaygın kullanılmaz RC5 bir varyantı, şeklinde alternatif şifreleme içerir. Regin gizlice saldırgan, ICMP / ping yoluyla olmak üzere, HTTP çerezleri komutları gömme ve özel TCP ve UDP protokolleri ile iletişim için birden fazla sofistike araçlar kullanır.
Symantec Reginin birçok bileşenleri keşfedilmemiş sürümlerinin mevcut olabileceğine inanıyor.
Symantec Analizi:
http://www.symantec.com/security_response/writeup.jsp?docid=2013-121221-3645-99