Regin: Neue Raffinesse bei fortgeschrittenen, beständigen Sicherheitsbedrohungen

Ende November veröffentlichten drei große Antivirus-Hersteller Details über das, was sie als den ausgeklügeltsten Virus bezeichneten, der jemals entdeckt wurde. Aber Regin als Virus zu bezeichnen, unterschätzt irgendwie seine Fähigkeiten. Angesichts seiner Raffinesse wäre es angebrachter, ihn als eine Kompromittierungsplattform zu bezeichnen, die es seinen Autoren, wahrscheinlich unterstützt von einem oder mehreren Nationalstaaten, ermöglicht, auf verschiedene Weise Informationen zu sammeln.

Obwohl die Opfer von Regin auf Regierungs-, Forschungs-, Finanzinstitutionen, Mobilfunkanbieter und akademische Einrichtungen in bestimmten Ländern beschränkt zu sein scheinen, sollte uns die Komplexität und Fähigkeit, Informationen zu sammeln und über lange Zeiträume unentdeckt zu bleiben, alle beunruhigen.

Regin Schritt für Schritt

Es gibt fünf Stufen im Installationsprozess, beginnend mit einem Windows-Dienst oder Treiber. Anschließend wird weiterer Code installiert, geschickt versteckt und verschlüsselt in NTFS-Erweiterten Attributen oder der Registry auf Geräten mit FAT/FAT32-Volumes; oder am Ende der letzten Festplattenpartition auf 64-Bit-Systemen.

Die 32-Bit-Version hat eine dritte Stufe, bei der ein Treiber verwendet wird, um virtuelle Dateisysteme (VFSes) zu erstellen, in denen Dateien verschlüsselt werden, um Regins Aktivitäten zu verbergen. Es gibt keine dritte Stufe für 64-Bit und das Dispatcher-Modul der vierten Stufe wird direkt geladen. Das Usermode-Dispatcher-DLL bildet den Kern von Regin und bietet die Grundlage für die Interaktion mit VFSes, das Ausführen von Plugins, Kryptographie und Netzwerkfunktionen.

Die letzte Stufe besteht aus einer Reihe von Plugins, die zur Datensammlung verwendet werden, von denen einige aus einer umfangreichen Liste stammen:

• HTTP/SMTP/SMB-Anmeldeinformationen-Sniffer
• Keylogger und Zwischenablage-Sniffer
• Benutzeranmeldung und -imitation
• Benutzer- und Domänennamenschnüffler
• Aufzählung und Manipulation von Netzwerkfreigaben
• Windows Event Log-Leser
• NDIS-Filter
• Code-Injektion und Hooking
• Datenextraktion von Microsoft Exchange Server

Um Entdeckung zu vermeiden, wird der Netzwerkverkehr zwischen den Opfern von Regin und dem Angreifer verschlüsselt. Es wird auch ein Peer-to-Peer-Netzwerk in kompromittierten Netzwerken eingerichtet, was die Menge der Daten, die an den Angreifer zurückgesendet werden müssen, begrenzt und somit erneut hilft, der Entdeckung zu entgehen.

Gefälschte Zertifikate

Die für die erste Phase auf 64-Bit-Systemen benötigten Module sind mit gefälschten Zertifikaten signiert, die so aussehen, als kämen sie von Microsoft und Broadcom, um sie echt erscheinen zu lassen. Indem eine Zertifizierungsstelle (CA) in die Zertifikatskette auf jedem Gerät eingefügt wird, werden die Dateien von Regin vom lokalen System als vertrauenswürdig eingestuft.

Dies ist wichtig, denn das Hinzufügen eines CA-Zertifikats ist eine Veränderung, die erkannt werden kann, während viele andere Aktivitäten von Regin schwerer zu entdecken sind. Und im Gegensatz zu Änderungen in der Windows-Registrierung und im Dateisystem sind Modifikationen im Zertifikatsspeicher selten, was die Überprüfung erleichtert.

Präventionsstrategien

Die anfängliche Kompromittierungsmethode ist unbekannt, aber Regin nutzte administrative Freigaben, um sich in Netzwerken zu bewegen, und wurde auf Active Directory domain Controllern gefunden, was darauf hindeutet, dass es wahrscheinlich ist, dass Mitarbeiter mit administrativen Privilegien unwissentlich durch Web- oder E-Mail-basierte Exploits ins Visier genommen wurden.

Wie könnten Sie also eine Bedrohung wie Regin daran hindern, Ihre Netzwerksicherheit zu infizieren?

1. Installieren Sie 64-Bit-Windows und entziehen Sie den Benutzern administrative Privilegien
2. Verwenden Sie Just Enough Administration (JEA)
3. Anwendung von Whitelisting implementieren
4. Überprüfen Sie kritische Systemkonfigurationen auf Servern und Endgeräten
5. Verlassen Sie sich nicht allein auf Antivirusprogramme und Firewalls