Regin : Nouvelle sophistication dans les menaces de sécurité persistantes avancées

Fin novembre, trois grands fournisseurs d'antivirus ont publié des détails sur ce qu'ils considéraient comme le virus le plus sophistiqué jamais découvert. Mais qualifier Regin de virus est quelque peu sous-estimer ses capacités. Vu sa sophistication, il serait plus approprié de le considérer comme une plateforme de compromission qui permet à ses auteurs, probablement soutenus par un ou plusieurs États-nations, de recueillir des renseignements par diverses méthodes.

Alors que les victimes de Regin semblent avoir été limitées aux institutions gouvernementales, de recherche, financières, aux fournisseurs de services de téléphonie mobile et aux institutions académiques dans certains pays, sa complexité et son efficacité à collecter des informations, et à rester indétecté pendant de longues périodes, devraient tous nous préoccuper.

Regin étape par étape

Il y a cinq étapes dans le processus d'installation, commençant par un service ou pilote Windows. Plus de code est ensuite installé, astucieusement caché et chiffré dans les Attributs Étendus NTFS, ou le registre sur les appareils avec des volumes FAT/FAT32 ; ou à la fin de la dernière partition de disque sur les systèmes 64 bits.

La version 32 bits comporte une troisième étape, utilisant un pilote pour créer des systèmes de fichiers virtuels (VFSes) dans lesquels les fichiers sont chiffrés pour masquer les activités de Regin. Il n'y a pas de troisième étape en 64 bits, et le module de dispatching de la quatrième étape est chargé directement. La DLL de dispatching en mode utilisateur constitue le cœur de Regin, et fournit la base pour interagir avec les VFSes, exécuter des plugins, la cryptographie et les fonctions réseau.

La dernière étape est une série de plugins utilisés pour collecter des données, dont certains, parmi une liste exhaustive, incluent :

• Renifleur de credentials HTTP/SMTP/SMB
• Keylogger et détecteur de presse-papiers
• Connexion utilisateur et usurpation d'identité
• Détecteur de nom d'utilisateur et de domaine
• Énumération et manipulation de partages réseau
• Lecteur de journal des événements Windows
• Filtre NDIS
• Injection de code et crochetage
• Extraction de données de Microsoft Exchange Server

Pour éviter la détection, le trafic réseau est chiffré entre les victimes de Regin et l'attaquant. Il établit également un réseau pair-à-pair sur les réseaux compromis, limitant la quantité de données devant être renvoyées à l'attaquant, ce qui aide de nouveau à échapper à la détection.

Faux certificats

Les modules nécessaires pour la première étape sur les systèmes 64 bits sont signés par de faux certificats, semblant provenir de Microsoft et Broadcom pour les rendre authentiques. En insérant une Autorité de Certification (CA) dans la chaîne de certificats sur chaque appareil, les fichiers de Regin sont considérés comme fiables par le système local.

C'est important, car l'ajout d'un certificat CA est un changement qui peut être détecté, tandis que de nombreuses autres activités de Regin sont plus difficiles à découvrir. Et contrairement aux modifications du registre Windows et du système de fichiers, les modifications apportées au magasin de certificats sont rares, ce qui les rend faciles à auditer.

Stratégies de prévention

La méthode de compromission initiale est inconnue, mais Regin a utilisé des partages administratifs pour se déplacer dans les réseaux, et a été trouvé sur les Active Directory domain controllers, suggérant qu'il est probable que des employés disposant de privilèges administratifs aient été visés à leur insu par des exploits basés sur le web ou les e-mails.

Alors, comment pourriez-vous empêcher une menace comme Regin d'infecter votre sécurité réseau ?

1. Déployez Windows 64 bits et supprimez les privilèges administratifs des utilisateurs
2. Utilisez Just Enough Administration (JEA)
3. Mettez en œuvre une liste blanche d'applications
4. Auditez la configuration système critique sur les serveurs et les appareils des utilisateurs finaux
5. Ne vous fiez pas uniquement aux antivirus et aux pare-feu