http://yenicagbilisim.com/blog/guvenlik/genelsecurity/regin-virusu/

26.11.2014 16:46:04
A+ A-

Regin Virüsü

Regin olarak bilinen web malware gelişmiş parçası, en az 2008 den beri bir arka kapı tipi (Truva)  olarak uluslararası hedeflere bir dizi karşı sistematik casusluk kampanyalarında kullanıldı.

fig1 architecture 281x300 Regin Virüsü

Reginin  yapısı, teknik oalrak  malware in nadir görülen  karmaşık bir parçasıdır.

 

Amacı

 

Hükümet kuruluşları

Altyapı operatörleriİ

İşletmeler

Araştırmacılar

Özel şahıslara a karşı web casusluk operasyonlarında kullanılmıştır.

 

Genel olarak çalışma mantığı

Çok aşamalı bir tehdit olup, her bir kademe, birinci aşama haricinde, saklı ve şifrelenir. Birinci aşamada web işlem yapılması beş aşamadan toplam şifre çözme ve her bir sonraki aşamada bir yükleme domino zinciri başlar. Her bireysel sahne komple paket küçük bilgi sağlar. Sadece beş aşamadan mümkün analiz ve tehdit anlamaktır.

 

Regin de hedefe uygun özel özellikleri yüklemek için izin, modüler bir yaklaşım kullanır. Bu modüler yaklaşım gibi diğer gelişmiş malware ailelerinde degörülmüştür Önişlem ve web böceği çok aşamalı yükleme mimarisinde görülen benzer  (Maske) Duqu / Stuxnet tehditler ailesi.

 

Gizliliği

Onun varlığı tespit edildiğinde bile, onun ne yaptığını tespit etmek çok zordur. Bu örnek dosyaları deşifre ettikten sonra Symantec verileri analizi başardı.

Regin birkaç "gizli" özelliklere sahiptir. Bu anti-forensics yetenekleri, özel yapılmış web şifreli sanal dosya sistemi (EVFS), ve yaygın kullanılmaz RC5 bir varyantı, şeklinde alternatif şifreleme içerir. Regin gizlice saldırgan, ICMP / ping yoluyla olmak üzere, HTTP çerezleri web komutları gömme ve özel TCP ve UDP protokolleri ile iletişim için birden fazla sofistike araçlar kullanır.

 

Symantec Reginin birçok bileşenleri keşfedilmemiş web sürümlerinin mevcut olabileceğine inanıyor.

 

Symantec Analizi:

http://www.symantec.com/security_response/writeup.jsp?docid=2013-121221-3645-99

 



YORUM YAZ
Yorumunuzu girmek için sisteme giriş yapmalısınız.
Eğer üye değilseniz üye olunuz.