業界觀察家說，Regin惡意軟件潛伏了長達五年以上，其被曝光足以突顯優化檢測方法的必要性。

賽門鐵克公司所披露的Regin惡意軟件，作為一項長期由國家資助的網絡間諜活動的一部分。人們已將Regin與震網(Stuxnet)和火焰(Flame)進行相提并論，它們是兩個有史以來最為復雜的惡意軟件。創建Regin所需的專業技能毋庸置疑，與此同時安全業界觀察家認為Regin再次證明更多的組織和廠商需要聚焦威脅檢測而不是防護。

賽門鐵克針對Regin的技術分析文章發布于11月末(技術博客是2014年11月23日，白皮書是2014年11月24日)，文中曝光了一個既強大又高度可定制的惡意軟件平臺。根據賽門鐵克的分析，Regin的第一個版本至少從2008年起到2011年就已在被使用，而第二個版本在2013年才被發現。

作為一個模塊化惡意軟件平臺，Regin包含很多相互依存的功能組件。這種設計允許攻擊者根據具體目標和情況部署不同的有效載荷。賽門鐵克稱，這種多階段加載架構(類似于Stuxnet和Duqu)讓人難以分析Regin，因為該惡意軟件的所有組件并不能在同一時間使用。

而且不同于許多其他的高級持續威脅(APT)通常專注于收集有價值的知識產權，賽門鐵克論文指出了Regin的獨特性，因為它面向收集各種非特定數據以及長期秘密監控個人或組織。

“Regin是一個復雜的惡意軟件，其結構顯示了一定程度罕見的技術能力，”賽門鐵克安全響應團隊在博客中寫到，“極有可能它的開發耗時數月，如果不是以年計，且它的作者不遺余力去掩蓋它的蹤跡。”

Regin：誰來對此負責?

Regin感染很大程度上沖擊了俄羅斯和沙特阿拉伯，而攻擊目標中只有較少幾個西方國家。目標的位置已使得許多業界觀察家將Regin與美國和以色列兩國政府進行的操作聯系起來，它們都被列為應對伊朗核設施Stuxnet攻擊事件負責，盡管沒有任何一國政府對此承擔責任。

先前出現的證據表明至少可以追溯到2010年，美國與英國情報機構就可能已經使用了Regin。之前美國國家安全局(NSA)承包商Edward Snowden的信息披露已經將英國政府通訊總局(GCHQ)與一次名為Operation Specialist的秘密任務聯系到一起，該任務目標為比利時電信公司Belgacom，通過惡意軟件允許代理軟件收集該公司客戶以及公司內部的通信數據。

賽門鐵克白皮書

“Regin采用了六個階段加載的架構。初始階段安裝和配置其內部服務。后續階段發揮主要載荷作用。本節簡要介紹各階段加載的文件格式和意圖。最有趣的階段是存儲可執行文件和數據文件的第四、五階段。初始的第一階段驅動是機器上唯一明文可見的代碼。所有其他階段都存儲為加密的數據，作為一個文件或在非傳統文件存儲區域內，如注冊表、擴展屬性或是磁盤末的原始扇區。”

針對Belgacom的惡意軟件，當時尚屬未知，之后被確定為同樣見于NSA針對歐盟多個國家開展行動時所采用的手法。德國咨詢公司Fox-IT安全，負責清除Belgacom網絡中的該惡意軟件。其創始人兼CTO，Ronald Prins，在與The Intercept的一次訪談中提及，該惡意軟件是他見過最為復雜的一個，并且可以得出了關于其創造者的結論。

Prins告訴The Intercept，“分析了該惡意軟件以及查看Snowden文檔，我確信是英國和美國情報服務部門在使用Regin。#p#

Regin是如何避開檢測的?

Regin的突出不僅在于它的復雜特性集，還在于它之前至少有五年未被檢測到。只是這個惡意軟件是如何能遠離安全廠商和專家的雷達，尤其是他們中那些負責發現和分析這類威脅的?

盡管賽門鐵克上周(技術博客是2014年11月23日)首次公布了Regin的存在，Big Yellow、微軟以及F-Secure也都承認早在2009年就首次識別到了Regin組件，從而使得有人猜測，不是防惡意軟件廠商故意選擇不面向公眾披露Regin，就是很長時間根本沒有意識到這些組件的價值。

ThetaRay是一家致力于關鍵基礎設施防護的以色列公司，該公司CEO，Mark Gazit認為Regin的命令與控制(C&C)基礎架構是逃避檢測的核心。Gazit指出，Regin依賴于諸如HTTP cookie中的內置命令以及自定義TCP與UDP協議等合法通信信道，這有利于攻擊者嘗試隱藏惡意活動。一個組織原有必要能查看所有的數據特征、同時進行分析以確定哪些是不正常的。

Gazit認為同樣重要的是，Regin的模塊化特性有助于逃避檢測，因為Regin身后的攻擊者可以面向特定的目標自定義該惡意軟件。由于如此多的安全產品仍然依賴于簽名技術進行檢測，那么惡意軟件代碼中即使是小的改動也有助于繞過許多組織賴以發現攻擊的技術。

Gazit還認為：“這種模塊化能力進一步解釋了為什么現有安全技術發現不了Regin。攻擊越來越錯綜復雜的這一事實令人擔憂，也呼吁新的安全概念化創新，這樣才可能幾分鐘內發現類似Regin這樣的復雜攻擊，而不是耗時數月或數年。”

ZeroFox是一家安全創業公司，總部在馬里蘭州巴爾的摩。公司副總裁Ian Amit指出Regin的“俄羅斯玩偶”架構作為惡意軟件能藏匿于組織網絡中的一種手段。Regin總共采用六個階段實現目標機器感染，這不包括尚未識別的Dropper。初始階段解壓縮、安裝并運行內核驅動，這是服務于第三階段，在第三階段Regin的實際功能才開始輸出。

Regin的主要載荷直到第五階段才被加載，這意味著初始感染在更早階段發生。Amit補充說，Regin作者為多個階段的部署采用了加密手段，這使得終端安全與其他檢測技術在對抗中處于劣勢。

“Regin凸顯了優化運維安全的需求，將其作為組織風險管理方法的一部分。”Amit通過郵件說，“利用人的因素最小化攻擊面以及長期監控變更，這兩種能力對于對抗持續威脅都至關重要。”

Regin：是否應當引起企業關注?

盡管該惡意軟件已被用于攻擊如俄羅斯、沙特阿拉伯及墨西哥這樣的政府機構，專家警告說Regin(或者至少它的元素)在將來可能會針對更多的西方國家。

Coretelligent是一家總部在馬薩諸塞州尼德姆的公司。其技術副總裁Chris Messer認為，盡管目前Regin對美國政府或總部在美國的企業尚不構成威脅，但該惡意軟件可能被其他國家實施逆向工程并用于竊取敏感信息。

Messer還說，“認為這些工具不可能被輕易重新利用或重新部署用于攻擊我們的盟友或甚至是個別的商業領袖、政治目標或公民，這種想法太單純。”

ThetaRay的Gazit同意Regin可能被攻擊者實施逆向工程，他們能夠剪切和粘貼他們自己的模塊到這個平臺中，盡管“普通黑客和網絡罪犯”此刻還不太可能理解Regin精巧的代碼。

還有，與震網和火焰被曝光后極為相似，Gazit認為隨著時間推移，個別特性將陸續進入到日常的漏洞利用攻擊工具集。Gazit補充說，Regin采用的感染方法就是這樣一個特性。為了能下載模塊到一個已被感染的系統中，Regin創建了一個簡單后門，然后連接用戶到一個虛假的LinkedIn頁面，這樣不會觸發大多數組織內的安全告警。Regin接著能從這個惡意頁面下載載荷。

Gazit還說：“對于網絡罪犯，考慮高轉化率始終是一個他們持續努力提升的數字游戲，如適當調配感染的機器。而Regin特性正是他們可能會設法插入自己代碼的那類。”