آنالیز بدافزار Regin

در بهار سال 2012، آزمایشگاه کسپرسکی حقایقی را درباره بدافزار Duqu آشکار نمود و این بار، این آزمایشگاه جزء نخستین آزمایشگاه هایی بود که بررسی بدافزار Regin را که در حال حاضر بسیاری از مدیران امنیتی سازمان های دولتی در سراسر جهان را مورد هدف قرار داده است، ارائه نمود. از آنجا که منابع فارسی زبان حتی پایگاه های معتبر داخلی از جمله مرکز ماهر، به این موضوع رسیدگی نکرده اند، اینجانب آنالیز این بدافزار را برای علاقه مندان به این حوزه، شرح خواهم داد.

به گفته محققین آزمایشگاه کسپرسکی: از دو سال پیش، بدافزارهای گریزان و مرموزی را با چندین پویشگر مختلف ردیابی کرده بودیم اما نمونه های این بدافزار با یکدیگر نامرتبط و فاقد متن بودند. اولین نمونه ناشناخته بدافزار، Regin بود که در برخی از آنها با تحقیقات انجام شده، قدمتی از سال 2003 دارد.

قربانیان بدافزار Regin در دسته های زیر قرار می گیرند:

  • اپراتورهای مخابراتی
  • نهادهای دولتی
  • بدنه های سیاسی چند ملیتی
  • موسسات مالی
  • موسسات تحقیقاتی
  • افراد درگیر در تحقیقات رمزنگاری/ریاضی پیشرفته

تا کنون، ما دو هدف اصلی از حمله را مشاهده کرده ایم:

  • جمع آوری اطلاعات
  • تسهیل در پیاده سازی انواع حملات دیگر

در حالی که در بسیاری از موارد، نفوذگران بر استخراج اطلاعات حساس از جمله ایمیل ها و اسناد تمرکز دارند، ما مواردی همچون مورد هدف قرار دادن اپراتورهای مخابراتی را شاهد بوده ایم که این امر باعث می شود که حملات اضافی و پیچیده ای نیز راه اندازی شود.

شاید یکی از شناخته ترین قربانیان این بدافزار، Jean Jacques Quisquater باشد که یک رمزنویس شناخته شده بلژیکیست. در فوریه 2014، این شخص اعلام کرد که قربانی یک نفوذ سایبری پیچیده شده است. با تحقیقات انجام شده متوجه شدیم که این شخص، قربانی پلت فرم Regin شده است.

یکی دیگر از قربانیان این بدافزار، کامپیوتری به نام "The Magnet of Threates" می باشد که متعلق به یک موسسه تحقیقاتیست و توسط بدافزارهایی همچون Turla، Mask/Careto، Regin، Itaduke، Animal Farm و برخی دیگر از تهدیدات، مورد هدف قرار گرفته بود.

خطر اولیه و حرکت جانبی

روش دقیق در خطر انداختن اولیه این بدافزار، مرموز باقی مانده است اگرچه چند نظریه در این رابطه وجود دارد از جمله حملات MitM با اکسپلویت های زیرزمینی و خصوصی در رابطه با مرورگرهای وب. به گفته آزمایشگاه کسپرسکی: برخی از ابزارها و ماژول هایی را مشاهده کرده ایم که برای یک حرکت جانبی طراحی شده بودند. ماژول های مکرری که از راه دور با استفاده از اشتراکات مدیریتی ویندوز کپی می شوند و سپس اجرا می شوند. آشکارست که این روش نیازمند دسترسی با امتیاز مدیر در شبکه قربانیست و نتیجتا مورد هدف قرار دادن دستگاه های آلوده.

پلت فرم Regin

به طور خلاصه، Regin یک پلت فرم حمله سایبری است که نفوذگران در شبکه های قربانی آن را مستقر کرده اند تا تمام سطوح امکان پذیر را از راه دور کنترل نمایند.

(این پلت فرم دقیقا مدولار است و دارای مراحل متعدد)

نخستین مرحله (stage 1)، به طور کلی تنها فایل قابل اجراییست که به نظر می رسد در سیستم قربانیست. علاوه بر این، یا به طور مستقیم بروی هارد (سیستم های 64bit)-به عنوان NTFS- ذخیره می شود و یا در نهادهای رجیستری.

دومین مرحله، اهداف چندگانه ای دارد و می تواند آلودگی Regin را از سیستم در صورتی که در مرحله 3 برنامه ریزی شده باشد، حذف کند.

همچنین مرحله دوم، یک نشانگر فایل را می سازد که می تواند برای شناسایی دستگاه آلوده مورد استفاده قرار گیرد. نام فایل های شناخته شده برای این نشانگر به شرح زیر است:

%SYSTEMROOT%\system32\nsreg1.dat
%SYSTEMROOT%\system32\bssec3.dat
%SYSTEMROOT%\system32\msrdc64.dat


در مرحله سوم، فقط سیستم های 32bit مورد هدف قرار می گیرد. هوشمندی این بدافزار طوریست که اگر سیستم قربانی 64bit نباشد، مستقیما به مرحله سوم حرکت کند. توزیع کننده یا Dispatcher در مرحله دوم بارگذاری می شود.

مرحله چهارم- توزیع کننده یک ماژول واحد بسیار پیچیده از تمام پلت فرم است. این توزیع کننده، هسته user-mode چارچوب است. این توزیع کننده، مستقیما روند خود راه انداز 64bit را در مرحله سوم بارگذاری می کند و یا از VFS به عنوان ماژول 50221 به عنوان مرحله چهارم برای سیستم های 32bit اجرا و بارگذاری می شود.

این توزیع کننده از وظایف بسیار پیچیده پلت فرم Regin مراقبت می کند همچون  ارائه API برای دسترسی به سیستم فایل مجازی، ارتباطات پایه و توابع ذخیره سازی در زیر روال های انتقال شبکه. در اصل، توزیع کننده، مغزی است که کل پلت فرم Regin را اجرا می کند.

(Virtual File Systems (32/64-bit

 جالب توجه ترین کد پلت فرم Regin در ذخیره سازی فایل رمزگذاری شده که با عنوان Virtual File Systems یا VFSes شناخته می شود، ذخیره می شود.

ماژول های غیر معمول

با گروهی از APTهای نهایی که در پشت این بدافزار قرار دارند، اشتباهات خیلی نادر است. با این وجود، ممکن است اشتباهی نیز رخ دهد. برخی از VFSes هایی که آزمایشگاه کسپرسکی آنالیز کرده است، به واژه هایی در ماژول مستقر شده سیستم قربانی، برخورد کرده است:

legspinv2.6 and LEGSPINv2.6
WILLISCHECKv2.0
HOPSCOTCH

ماژول دیگری که پیدا شده است، یک نوع پلاگین با شماره 55001.0 است که نام کد دیگر به U_STARBUCKS اشاره دارد

 

ردیابی GSM

جنبه جالب دیگر در مورد Regin، به آلوده کردن اپراتور GSM به صورت گسترده مربوط می شود.

مطابق با اسنا GSM در آدرس http://www.telecomabc.com، کنترل کننده ایستگاه پایه یا BSC، در کنترل و سرپرستی تعدادی از ایستگاه های فرستنده و گیرنده پایه یا BTS قرار دارد. BSC، مسئول تخصیص منابع رادیویی به تماس های موبایل و تحویل بخشی است که بین ایستگاه های پایه تحت کنترل خود ساخته شده است، می باشد. همچنین مسئول تحویل بخشی تحت کنترل MSC می باشد.

 

سایز این لاگ حدود 70 کیلوبایت است و حاوی صدها نهاد مثل آنچه که در بالا اشاره شد می باشد. همچنین شامل مهر زمانی می باشد که نشاندهنده این است که دقیقا دستور چه زمانی اجرا شود. در اینجا لیستی از برخی دستورات صادر شده بروی کنترل کننده ایستگاه پایه را مشاهده خواهیم کرد:

 

شرح برخی دستورات:

  • rxmop - بررسی نوع نسخه نرم افزار
  • rxmsp - لیست جاری تنظیمات فوروارد تماس های ایستگاه های موبایل
  • rlcrp - لیست تنظیمات فوروارد تماس ها برای کنترل کننده ایستگاه پایه
  • rxble - فعال کردن (unblock) فوروارد تماس ها
  • rxtcp - نشان دادن گروه فرستنده و گیرنده ی تلفن همراه های خاص
  • allip - نشان دادن آلارم های خارجی
  • dtstp - نشان دادن تنظیمات DIP
  • rlstc - فعال کردن تلفن همراه ها در شبکه GSM
  • rlstp - متوقف کردن تلفن همراه ها در شبکه GSM
  • rlmfc - اضافه کردن فرکانس ها به لیست تخصیص کانال کنترل پخش فعال
  • rrtpp - نشان دادن جزییات کدگذار انتقالات رادیویی

 

البته این تنها دستورات این بدافزار نیست، بلکه سرقت نام های کاربری و کلمات عبور نیز با دستورات دیگر اجرا می شود.

آماری درباره کشورهای قربانی

در طول دو سال گذشته، آمارهای مختلفی توسط آزمایشگاه کسپرسکی درباره این حملات جمع آوری شده است. قربانیان این بدافزار، 14 کشور زیر می باشد:

  • الجزایر
  • افغانستان
  • بلژیک
  • برزیل
  • فیجی
  • آلمان
  • ایران
  • هند
  • اندونزی
  • کیریباتی
  • مالزی
  • پاکستان
  • روسیه
  • سوریه

مورد هدف قرار دادن کشورهای بسیار کوچک فیجی و کیریباتی غیرمعمول است و به ندرت انتظار اجرای این بدافزار در این کشورها خواهیم بود اما بالاخره در لیست مورد هدف قرار دادن این بدافزار و همچنین در لیست محققین و پژوهشگران سایبری، این دو کشور نیز قرار گرفته اند.

 

در آینده ای نزدیک با آنالیز، بررسی و پژوهش بیشتر درباره این بدافزار مرموز، مطالب این مقاله و تحقیق سایبری را در همین عنوان، تکمیل و در اختیار عموم قرار خواهم داد.

علی اصغر جعفری لاری

علی اصغر جعفری لاری هستم. از سال 82 وارد دنیای "نفوذگری در وب" شدم و به صورت فردی، فعالیتم رو در این حوزه شروع کردم. پس از شش سال، دیدگاه اصلی من نسبت به این علم، به سمت و سوی "هک اخلاقی" تغییر پیدا کرد و سعی کردم شش سال دوم تجربیات زندگیم رو به صورت قانونمند و سودمند پیش ببرم. تخصص اصلی من "تست نفوذ برنامه های کاربردی وب" و تحقیق در حوزه "امنیت سایبری" هست و از روی علاقه، به مباحثی همچون تست نفوذ حوزه هایی مثل شبکه های بیسم، برنامه های کاربردی موبایل، کلاینت ها،سیستم های صنعتی و امواج رادیویی نیز پرداختم. تاکنون شش کتاب در حوزه هک و امنیت تالیف و ترجمه کردم و تیم پارسینگ رو برای رسیدن به اهداف بلندش یاری کردم.

وبگاه: www.parsing.ir پست الکترونیکی این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید

درباره پارسینگ

تیم امنیت وب و تحقیقات سایبری پارسینگ با هدف اطلاع رسانی، آموزش، مشاوره، ایمن سازی و تحقیقات در حوزه امنیت سایبری در سال 1391 توسط مهندس علی اصغر جعفری لاری تاسیس گردید تا علاوه بر اهدافی همچون بالا بردن آگاهی کاربران عمومی نسبت به امنیت، مشاوره و ایمن سازی وبسایت های داخلی برای دفاع در برابر تهاجمات بیگانگان و ارائه تحقیقات سایبری روشن و شفاف برای تحقیق و توسعه پروژه ها توسط دانش پژوهان، بتواند با کسب رضایت و اعتماد مشتریان خود به عنوان یک تیم برتر در حوزه امنیت سایبری در ایران شناخته شود.  

تماس با ما

تهران، اقدسیه، میدان ازگل، کوچه نوبهار، بن بست همیشه بهار، پلاک سوم

info[at]parsing[dot]ir

22196283 21 (98)

9120268477 (98)

پارسینگ را در گوگل محبوب کنید: