大東話安全之猙獰版神奇寶貝丨專欄






編者按:網路空間安全近年來日漸成為公眾關注的焦點,中科院之聲特意邀請業內專家「大東」開設「大東話安全」專欄,以《安天威脅通緝令2016撲克牌》為線索,一張撲克牌對應一個網路病毒,講述54個不同的網路病毒和網路安全故事,以及如何進行針對性防禦的建議。

一、讖曰

哈利法克斯:惡意必須披上坦率的外衣,否則它就會暴露無遺。

大東:邪惡必須穿上率直的外衣,否則它只能原形畢露。

小白:我必須緊跟大東前進的步伐,否則容易暴露智商。

二、病毒通緝令

大東話安全之猙獰版神奇寶貝丨專欄

小白:這個這個我認識!神奇寶貝!火箭隊的阿柏怪蛇!咳咳,既然你誠心誠意發問了,我就大發慈悲地告訴你,為了防止世界被破壞……

大東:打住,打住!小白你看清楚,有這麼猙獰的神奇寶貝嘛,這是咱們今天要講的 Regin。

小白:嘿嘿,童年記憶一說就停不下來了~

大東:這個 Regin 是一款多階段模塊化的惡意軟件,主要是利用中間人攻擊的手法收集數據和持續監視目標組織或個人。它在2014年被發現,被用於攻擊10個國家的約100個機構或系統。據推測,該惡意軟件由政府機構資助。

小白:哇,那比阿柏怪厲害多了,還是大東東你繼續說吧~~

大東:得嘞!

三、拼裝監視器

大東:這個 Regin 和其他 APT 不太一樣,它的目的不僅在於收集重要數據,它也可以用以持續監測某個組織或個人。

小白:exm?相當於一台監視器!那我豈不是赤裸裸地展現在它面前了嗎!

大東:你可以這麼理解。Regin 是被賽門鐵克發現的 APT 威脅。2014年11月發布的一份報告中指出:Regin 是一個多階段的模塊化威脅。這意味著它由多個功能相互依賴的組件組成。

大東話安全之猙獰版神奇寶貝丨專欄

Regin 結構相互依存的單位示意圖

各有所用的組件

小白:大東東,你說得好高深,聽不懂啊!

大東:別急,聽我慢慢解釋。這「多階段的模塊化」是指,該軟件在一個框架內,有多級架構,每一個階段完成自己特有的工作,每個模塊從最基本功能開始,並擴展到特定的攻擊,層層深入,增加竊聽功能。就好比用樂高堆坦克,每塊零件都是它的組成部分,都是其功能的拓展。

小白:組裝的 ATP~

大東話安全之猙獰版神奇寶貝丨專欄

Regin 結構圖

大東:可以這麼理解。Regin 的第一階段,主要目的是將自己寫入記憶體中,用於安裝並執行第二階段驅動程序,負責創建擴展屬性。同時比起其他階段,它是唯一顯而易見的代碼,比較容易檢測到,但也像多米諾骨牌的第一張牌一樣,一旦啟動,就會連鎖啟動後續的階段,並逐步把它們隱蔽起來。

小白:結構好複雜的樣子!

大東:從第二、三階段開始,都屬於支持模塊,是為了註冊系統服務或者關聯註冊表,以便在計算機啟動時,就能自動加載驅動程序,同時提取、安裝、運行第四階段。

小白:要開始了嗎!

大東:第四階段負責從附加記錄中找到記錄,安裝和配置惡意軟件的內部服務,壓縮、加密程序,或者存到非傳統文件存儲區域。簡單地說,就是為了武裝自身,提高被檢測的難度。

小白:小樣兒!還想隱身?

大東:在第五階段,Regin 開始增加網路數據包驅動、安裝 Rootkit 惡意軟件等等,為第六階段做好鋪墊。

小白:這是準備幹壞事了吧!

大東:是的。在第六階段,Regin 開始收集計算機信息、竊取密碼、收集進程和記憶體信息,就算是你刪除的東西,他們也會進行重新檢索。同時還會截獲用戶滑鼠點擊功能,從被感染的計算機上捕捉截圖,監控網路流量、分析電子郵件等等。

大東話安全之猙獰版神奇寶貝丨專欄

Regin 感染網路拓補示意圖

小白:真是可惡啊!

簽名驗身份

大東:根據賽門鐵克發布的 Regin 報告可以看出,攻擊目標包括私營企業、政府機關和研究機構。近半數的感染是個人和小型企業。以及同美國棱鏡計劃相似,以竊取通話的內容為目的來對電信公司進行攻擊。同時感染的地區也非常廣,主要來自十個國家,其中俄羅斯和沙烏地阿拉伯最為嚴重。

大東話安全之猙獰版神奇寶貝丨專欄

Regin 感染目標所屬部門類型

大東話安全之猙獰版神奇寶貝丨專欄

Regin 感染目標所在地區

小白:真可怕!有沒有什麼預防措施呢?

大東:防范這種惡意軟件,我們要從源頭開始。比如,不要從不正規的網站下載應用。

小白:一定要從正規應用市場或者官網上下載。

大東:說得對!同時注意,只要下載時不安裝沒有數字簽名的軟件,就不會感染惡意軟件。因為數字簽名就像人的身份證一樣,而惡意軟件的開發者是不敢「實名制」的。

小白:怎麼看有沒有數字簽名呢?

大東:右擊你下載的軟件安裝包,選擇屬性,就能夠看到數字簽名一欄。

大東話安全之猙獰版神奇寶貝丨專欄

酷狗軟件數字簽名

小白:原來如此~~

四、小白內心說

小白:東哥,這款惡意軟件略複雜啊,我聽你講都好不容易才理解的,開發這個軟件的人得有多麼大一個腦袋啊!

大東:從 Regin 的複雜設計來看,開發這一惡意軟件需要投入大量時間和資源,顯然不像是一個人能獨自開發的,其背後應該是有組織的,我可能這個組織還不是一般般的二流角色呢!

小白:這樣苦心開發一個監視軟件,值得嗎?東哥。

大東:這就不得不再次提到 APT 攻擊的特點了,潛伏性和持續性。黑客就像潛伏在黑暗處的狙擊手,不達目的誓不罷休,滲透的惡意軟件可能很長時間一段時間內都會蟄伏,伺機而動,當然這種有背景的惡意軟件的開發肯定有其不可告人的秘密。

小白:果然,這是一個看後台的年代啊!

大東:你唉聲嘆氣幹嘛,你我就老老實實,一步一個腳印努力,這個年代不會埋沒那些努力的人的!

五、話說漫威

大東:在網路世界中,人們的安全意識和技能在不斷地加強,要想從目標中直接套取信息已經變得非常的困難,Regin 就利用中間人攻擊的手法,以「半路攔截」的方式收集數據和持續監視目標組織或個人。

小白:嘖嘖,難道不知道「盜亦有道」嗎!

大東:你這麼一說,我想起了漫威世界的白皇后,她就是直接從目標上獲取信息。

小白:什麼什麼?

大東:白皇后出生在美國波士頓的一個富有家庭,她父親是個冷酷無情又獨裁的商人,母親因為家庭壓力濫用精神方面的藥品。而她從小就有讀取他人思維與記憶,強制修改對方的記憶,控制其思維,進行精神屏蔽的超能力。

大東話安全之猙獰版神奇寶貝丨專欄

白皇后

小白:哇!這樣的超能力給我也來一打~

大東:白皇后的心靈感應能力是不遜於X教授的。她曾把這種能力用於讀取同學的思維和考試的答案,而且還收集了大量同學的私密信息。

小白:她竟然能忍住不做壞事,嘿嘿~

大東:小白你又在想什麼鬼點子。

小白:因吹斯汀~嘿嘿,大東東下次繼續講昂~

來源:中國科學院計算技術研究所

大東話安全之猙獰版神奇寶貝丨專欄