大东话安全之狰狞版神奇宝贝丨专栏

编者按：网络空间安全近年来日渐成为公众关注的焦点，中科院之声特意邀请业内专家“大东”开设“大东话安全”专栏，以《安天威胁通缉令2016扑克牌》为线索，一张扑克牌对应一个网络病毒，讲述54个不同的网络病毒和网络安全故事，以及如何进行针对性防御的建议。

[好文分享：www.ii77.com]

一、谶曰

哈利法克斯：恶意必须披上坦率的外衣，否则它就会暴露无遗。

大东：..必须穿上率直的外衣，否则它只能原形毕露。

小白：我必须紧跟大东前进的步伐，否则容易暴露智商。

二、病毒通缉令

小白：这个这个我认识！神奇宝贝！火箭队的阿柏怪蛇！咳咳，既然你诚心诚意发问了，我就大发慈悲地告诉你，为了防止世界被破坏……

大东：打住，打住！小白你看清楚，有这么狰狞的神奇宝贝嘛，这是咱们今天要讲的 Regin。

小白：嘿嘿，童年记忆一说就停不下来了~

大东：这个 Regin 是一款多阶段模块化的恶意软件，主要是利用中间人攻击的手法收集数据和持续监视目标组织或个人。它在2014年被发现，被用于攻击10个国家的约100个机构或系统。据推测，该恶意软件由政府机构资助。

小白：哇，那比阿柏怪厉害多了，还是大东东你继续说吧~~

大东：得嘞！

三、拼装监视器

大东：这个 Regin 和其他 APT 不太一样，它的目的不仅在于收集重要数据，它也可以用以持续监测某个组织或个人。

小白：exm？相当于一台监视器！那我岂不是赤裸裸地展现在它面前了吗！

大东：你可以这么理解。Regin 是被赛门铁克发现的 APT 威胁。2014年11月发布的一份报告中指出：Regin 是一个多阶段的模块化威胁。这意味着它由多个功能相互依赖的组件组成。

Regin 结构相互依存的单位示意图

各有所用的组件

小白：大东东，你说得好高深，听不懂啊！

大东：别急，听我慢慢解释。这“多阶段的模块化”是指，该软件在一个框架内，有多级架构，每一个阶段完成自己特有的工作，每个模块从最基本功能开始，并扩展到特定的攻击，层层深入，增加窃听功能。就好比用乐高堆坦克，每块零件都是它的组成部分，都是其功能的拓展。

小白：组装的 ATP~ 

Regin 结构图

大东：可以这么理解。Regin 的第一阶段，主要目的是将自己写入内存中，用于安装并执行第二阶段驱动程序，负责创建扩展属性。同时比起其他阶段，它是唯一显而易见的代码，比较容易检测到，但也像多米诺骨牌的第一张牌一样，一旦启动，就会连锁启动后续的阶段，并逐步把它们隐蔽起来。

小白：结构好复杂的样子！

大东：从第二、三阶段开始，都属于支持模块，是为了..系统服务或者关联..表，以便在计算机启动时，就能自动加载驱动程序，同时提取、安装、运行第四阶段。

小白：要开始了吗！

大东：第四阶段负责从附加记录中找到记录，安装和配置恶意软件的内部服务，压缩、加密程序，或者存到非传统文件存储区域。简单地说，就是为了武装自身，提高被检测的难度。

小白：小样儿！还想隐身？

大东：在第五阶段，Regin 开始增加网络数据包驱动、安装 Rootkit 恶意软件等等，为第六阶段做好铺垫。

小白：这是准备干坏事了吧！

大东：是的。在第六阶段，Regin 开始收集计算机信息、窃取密码、收集进程和内存信息，就算是你删除的东西，他们也会进行重新检索。同时还会截获用户鼠标点击功能，从被感染的计算机上捕捉截图，监控网络流量、分析电子邮件等等。

Regin 感染网络拓补示意图

小白：真是可恶啊！

签名验身份

大东：根据赛门铁克发布的 Regin 报告可以看出，攻击目标包括私营企业、政府机关和研究机构。近半数的感染是个人和小型企业。以及同美国棱镜计划相似，以窃取通话的内容为目的来对电信公司进行攻击。同时感染的地区也非常广，主要来自十个国家，其中俄罗斯和沙特..最为严重。

Regin 感染目标所属部门类型

Regin 感染目标所在地区

小白：真可怕！有没有啥预防措施呢？

大东：防范这种恶意软件，我们要从源头开始。比如，不要从不正规的网站下载应用。

小白：一定要从正规应用市场或者官网上下载。