Regin是一款先進的間諜軟件，具有罕見的技術能力，被用于監視政府機關、基礎設施運營商、企業、研究機構甚至針對個人的間諜活動中 

[[123458]]

自2008年起，一款名為Regin的先進惡意軟件就已經被用于針對許多跨國目標的系統性間諜活動中。Regin是一款復雜的后門木馬惡意軟件，其結構設計具有罕見的技術能力。根據攻擊目標，Regin具有高度可定制化功能，能夠使攻擊者通過強大的框架進行大規模監視，并且已經被用于監視政府機關、基礎設施運營商、企業、研究機構甚至針對個人的間諜活動中。

Regin的開發者投入了大量的心思來隱匿其行蹤，這款惡意軟件的開發時間就算不耗費數年，也可能耗費數月時間來完成。Regin強大的功能和其背后支撐的強大資源說明，這是一款國家級使用的重要網絡間諜工具。

賽門鐵克最新發布的一份技術白皮書提到，Backdoor.Regin具有多個階段，除第一階段外，其他各級階段都非常隱蔽并經過了加密處理。執行第一階段會啟動一連串類似多米諾骨牌效應的解密作業，并加載后續階段。Regin總共五個階段，每個階段僅提供非常有限的關于完整程序包的信息。只有截獲全部五個階段的數據，才能分析和理解它的具體威脅。 

圖1：Regin的五個階段

Regin使用模塊化方法，可針對攻擊目標加載定制功能。這種模塊化方法也被用于其他復雜惡意軟件系列，例如Flamer和Weevil（即“面具”），而多階段加載架構類似于 Duqu/Stuxnet 威脅系列。

時間進程和攻擊目標概述

在2008年至2011年間，賽門鐵克觀察到Regin已經感染了多個組織機構，而在此之后，它卻突然銷聲匿跡。從2013年起，該惡意軟件的新版本再次浮出水面，攻擊目標包括私營企業、政府機關和研究機構。近半數的感染是以個人和小型企業為目標。針對電信公司的攻擊，也意在通過訪問其基礎設施獲取通話內容。 

圖2：已經證實的Regin感染狀況（按領域）

感染事件所發生的地區分布廣泛，已確定的感染區域主要來自十個國家地區。

圖3：已證實的Regin感染分布（按國家和地區）

感染媒介和有效負載

感染媒介因攻擊目標而異，截至本文撰寫時，尚未發現可復制媒介 (reproducible vector)。賽門鐵克認為，某些目標受害者可能被誘騙訪問假冒的知名網站，該惡意軟件可能通過網絡瀏覽器或應用漏洞安裝入侵。 

據某臺電腦上的日志文件顯示，Regin通過未經證實的方式，由Yahoo! Instant Messenger入侵電腦。

Regin使用模塊化方法，威脅操控者可靈活地根據需要，對單個目標加載定制功能。某些定制的有效負載極為先進，顯現出極高的專業領域知識，進一步證明了Regin開發者能夠調配大量資源。

Regin的有效負載具有幾十種之多。該惡意軟件的標準功能包括多種遠程訪問木馬(Remote Access Trojan，RAT)功能，例如，捕捉屏幕截圖、控制鼠標的點擊功能、竊取密碼、監控網絡流量和恢復刪除文件等。 

目前發現了更多特定且先進的有效負載模塊，例如Microsoft IIS網絡服務器流量監測器，以及手機基站控制器管理的流量嗅探器。

隱秘性

Regin的開發者花費了大量精力來確保它的隱秘性。其極難被發現的低調特性，使它可能在過去的數年里被應用于各種間諜活動中。即使被檢測出來，也很難確定它具體從事何種活動。賽門鐵克只能在破解樣本文件后，才能分析其有效負載。

Regin具有多種“隱秘”功能，包括反取證功能、定制的加密虛擬文件系統 (EVFS) ，以及非常用的以RC5變種形式呈現出來的替代加密方式。Regin使用多種先進復雜的方法與攻擊者秘密溝通，包括通過ICMP/ping，在HTTP cookies中嵌入命令，以及采用定制TCP和UDP協議實現通信目的。

結論

Regin是一款高度復雜的惡意軟件，被用于系統性的數據收集或情報收集活動。它的開發和運作需要投入大量時間和資源，這表明該惡意軟件可能是由某國家作為背后支持。復雜的設計使它非常適合對目標進行長期的監視活動。

對Regin的發現表明，用于情報收集工具的持續投資如此之大。賽門鐵克認為，Regin的許多組件尚未被發現，并且很可能存在其他的功能和不同版本。賽門鐵克將持續進行深入分析，并及時發布任何最新發現。