Skocz do zawartości
Forum Kopalni Wiedzy
KopalniaWiedzy.pl

Regin działa od 6 lat

Rekomendowane odpowiedzi

Firma Symantec informuje o odkryciu zaawansowanego spyware'u nazwanego Regin. Od 2008 roku szpieguje on firmy, organizacje rządowe oraz osoby prywatne. Symantec opublikował właśnie analizę techniczną [PDF] Regiina, w której czytamy, że charakteryzuje go struktura świadcząca o rzadko spotykanych umiejętnościach jego twórców.

Backdoor.Regin jest dobrze ukrytym, zaszyfrowanym szkodliwym kodem. Proces jego uruchamiania składa się z pięciu etapów. Na każdym z nich odszyfrowywana jest kolejna część kodu. Dopiero odszyfrowanie całości pozwala na analizę kodu. Specjaliści Symanteka dowiedzieli się, że Regin jest kodem modułowym, co pozwala dobrać jego funkcje pod kątem konkretnego celu ataku.

Szkodliwy kod rozprzestrzenia się na wiele różnych sposobów. Wiadomo, że w niektórych przypadkach do zarażenia doszło, gdy użytkownicy odwiedzili podrobione wersje znanych serwisów internetowych. Wówczas kod instalował się wykorzystując luki w przeglądarkach lub aplikacjach internetowych. W co najmniej jednym przypadku doszło do zarażenia za pośrednictwem niepotwierdzonej dziury w Yahoo! Instant Messnger.

Analiza Regina wykazała, że potrafi on wykonywać zrzuty ekranowe, przechwytywać kliknięcia myszki, kraść hasła, monitorować ruch w sieci oraz odzyskiwać skasowane pliki. Wśród bardziej zaawansowanych funkcji odkryto możliwość monitorowania ruchu w serwerach Microsoft IIS czy śledzenie działań administratorów stacji bazowych telefonii komórkowej. Szkodliwy kod został wyposażony też w mechanizmy broniące go przed analizowaniem ze strony osób niepowołanych – korzysta z wbudowanego zaszyfrowanego wirtualnego systemu plików oraz alternatywnego sposobu szyfrowania, który jest odmianą szyfru blokowego RC5. Do komunikacji z napastnikiem Regin korzysta z ICMP, pinga, ciasteczek HTTP oraz protokołów TCP i UDP.

Do około połowy infekcji Reginem doszło z IP należących do dostawców usług internetowych. Zdaniem Symantecka, celem Regina nie są jednak ISP, a ich klienci. Około 28% zainfekowanych firm to przedsiębiorstwa telekomunikacyjne, pozostałe ofiary Regina działają na rynkach energetycznym, lotniczym, naukowym i usług turystycznych. Około połowy celów szkodliwego kodu znajduje się w Rosji i Arabii Saudyjskiej, inne ofiary pochodzą z Meksyku, Irlandi, Indii, Pakistanu, Austrii, Belgii, Afganistanu czy Iranu.


« powrót do artykułu

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

 

 

Do komunikacji z napastnikiem Regin korzysta z ICMP, pinga, ciasteczek HTTP oraz protokołów TCP i UDP.

 

Nie wiem o jakiego innego pinga chodzi, ale ten systemowy używa właśnie ICMP lub UDP (tudzież ARP).

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...