编者按:网络空间安全近年来日渐成为公众关注的焦点,中科院之声特意邀请业内专家“大东”开设“大东话安全”专栏,以《安天威胁通缉令2016扑克牌》为线索,一张扑克牌对应一个网络病毒,讲述54个不同的网络病毒和网络安全故事,以及如何进行针对性防御的建议。
一、谶曰
哈利法克斯:恶意必须披上坦率的外衣,否则它就会暴露无遗。
大东:邪恶必须穿上率直的外衣,否则它只能原形毕露。
小白:我必须紧跟大东前进的步伐,否则容易暴露智商。
二、病毒通缉令
小白:这个这个我认识!神奇宝贝!火箭队的阿柏怪蛇!咳咳,既然你诚心诚意发问了,我就大发慈悲地告诉你,为了防止世界被破坏……
大东:打住,打住!小白你看清楚,有这么狰狞的神奇宝贝嘛,这是咱们今天要讲的 Regin。
小白:嘿嘿,童年记忆一说就停不下来了~
大东:这个 Regin 是一款多阶段模块化的恶意软件,主要是利用中间人攻击的手法收集数据和持续监视目标组织或个人。它在2014年被发现,被用于攻击10个国家的约100个机构或系统。据推测,该恶意软件由政府机构资助。
小白:哇,那比阿柏怪厉害多了,还是大东东你继续说吧~~
大东:得嘞!
三、拼装监视器
大东:这个 Regin 和其他 APT 不太一样,它的目的不仅在于收集重要数据,它也可以用以持续监测某个组织或个人。
小白:exm?相当于一台监视器!那我岂不是赤裸裸地展现在它面前了吗!
大东:你可以这么理解。Regin 是被赛门铁克发现的 APT 威胁。2014年11月发布的一份报告中指出:Regin 是一个多阶段的模块化威胁。这意味着它由多个功能相互依赖的组件组成。
Regin 结构相互依存的单位示意图
各有所用的组件
小白:大东东,你说得好高深,听不懂啊!
大东:别急,听我慢慢解释。这“多阶段的模块化”是指,该软件在一个框架内,有多级架构,每一个阶段完成自己特有的工作,每个模块从最基本功能开始,并扩展到特定的攻击,层层深入,增加窃听功能。就好比用乐高堆坦克,每块零件都是它的组成部分,都是其功能的拓展。
小白:组装的 ATP~
Regin 结构图
大东:可以这么理解。Regin 的第一阶段,主要目的是将自己写入内存中,用于安装并执行第二阶段驱动程序,负责创建扩展属性。同时比起其他阶段,它是唯一显而易见的代码,比较容易检测到,但也像多米诺骨牌的第一张牌一样,一旦启动,就会连锁启动后续的阶段,并逐步把它们隐蔽起来。
小白:结构好复杂的样子!
大东:从第二、三阶段开始,都属于支持模块,是为了注册系统服务或者关联注册表,以便在计算机启动时,就能自动加载驱动程序,同时提取、安装、运行第四阶段。
小白:要开始了吗!
大东:第四阶段负责从附加记录中找到记录,安装和配置恶意软件的内部服务,压缩、加密程序,或者存到非传统文件存储区域。简单地说,就是为了武装自身,提高被检测的难度。
小白:小样儿!还想隐身?
大东:在第五阶段,Regin 开始增加网络数据包驱动、安装 Rootkit 恶意软件等等,为第六阶段做好铺垫。
小白:这是准备干坏事了吧!
大东:是的。在第六阶段,Regin 开始收集计算机信息、窃取密码、收集进程和内存信息,就算是你删除的东西,他们也会进行重新检索。同时还会截获用户鼠标点击功能,从被感染的计算机上捕捉截图,监控网络流量、分析电子邮件等等。
Regin 感染网络拓补示意图
小白:真是可恶啊!
签名验身份
大东:根据赛门铁克发布的 Regin 报告可以看出,攻击目标包括私营企业、政府机关和研究机构。近半数的感染是个人和小型企业。以及同美国棱镜计划相似,以窃取通话的内容为目的来对电信公司进行攻击。同时感染的地区也非常广,主要来自十个国家,其中俄罗斯和沙特阿拉伯最为严重。
Regin 感染目标所属部门类型
Regin 感染目标所在地区
小白:真可怕!有没有啥预防措施呢?
大东:防范这种恶意软件,我们要从源头开始。比如,不要从不正规的网站下载应用。
小白:一定要从正规应用市场或者官网上下载。
大东:说得对!同时注意,只要下载时不安装没有数字签名的软件,就不会感染恶意软件。因为数字签名就像人的身份证一样,而恶意软件的开发者是不敢“实名制”的。
小白:怎么看有没有数字签名呢?
大东:右击你下载的软件安装包,选择属性,就能够看到数字签名一栏。
酷狗软件数字签名
小白:原来如此~~
四、小白内心说
小白:东哥,这款恶意软件略复杂啊,我听你讲都好不容易才理解的,开发这个软件的人得有多么大一个脑袋啊!
大东:从 Regin 的复杂设计来看,开发这一恶意软件需要投入大量时间和资源,显然不像是一个人能独自开发的,其背后应该是有组织的,我估计这个组织还不是一般般的二流角色呢!
小白:这样苦心开发一个监视软件,值得吗?东哥。
大东:这就不得不再次提到 APT 攻击的特点了,潜伏性和持续性。黑客就像潜伏在黑暗处的狙击手,不达目的誓不罢休,渗透的恶意软件可能很长时间一段时间内都会蛰伏,伺机而动,当然这种有背景的恶意软件的开发肯定有其不可告人的秘密。
小白:果然,这是一个看后台的年代啊!
大东:你唉声叹气干嘛,你我就老老实实,一步一个脚印努力,这个年代不会埋没那些努力的人的!
五、话说漫威
大东:在网络世界中,人们的安全意识和技能在不断地加强,要想从目标中直接套取信息已经变得非常的困难,Regin 就利用中间人攻击的手法,以“半路拦截”的方式收集数据和持续监视目标组织或个人。
小白:啧啧,难道不知道“盗亦有道”吗!
大东:你这么一说,我想起了漫威世界的白皇后,她就是直接从目标上获取信息。
小白:什么什么?
大东:白皇后出生在美国波士顿的一个富有家庭,她父亲是个冷酷无情又独裁的商人,母亲因为家庭压力滥用精神方面的药品。而她从小就有读取他人思维与记忆,强制修改对方的记忆,控制其思维,进行精神屏蔽的超能力。
白皇后
小白:哇!这样的超能力给我也来一打~
大东:白皇后的心灵感应能力是不逊于X教授的。她曾把这种能力用于读取同学的思维和考试的答案,而且还收集了大量同学的私密信息。
小白:她竟然能忍住不做坏事,嘿嘿~
大东:小白你又在想什么鬼点子。
小白:因吹斯汀~嘿嘿,大东东下次继续讲昂~
