Regin: Nueva sofisticación en amenazas persistentes avanzadas de seguridad

A finales de noviembre, tres importantes proveedores de antivirus publicaron detalles sobre lo que consideraron el virus más sofisticado jamás descubierto. Pero llamar a Regin un virus es subestimar sus capacidades. Tal es su sofisticación, sería más apropiado referirse a él como una plataforma de compromiso que permite a sus autores, probablemente respaldados por uno o más estados nacionales, recopilar inteligencia a través de una variedad de métodos.

Aunque las víctimas de Regin parecen haberse limitado a instituciones gubernamentales, de investigación, financieras, proveedores de servicios de telefonía móvil y académicas en ciertos países, su complejidad y eficacia en la recopilación de información, y el permanecer indetectado durante largos períodos de tiempo, deberían preocuparnos a todos.

Regin paso a paso

Hay cinco etapas en el proceso de instalación, comenzando con un servicio o controlador de Windows. Luego se instala más código, astutamente oculto y cifrado en los Atributos Extendidos de NTFS, o en el registro en dispositivos con volúmenes FAT/FAT32; o al final de la última partición del disco en sistemas de 64 bits.

La versión de 32 bits tiene una tercera etapa, utilizando un controlador para crear sistemas de archivos virtuales (VFSes) en los que los archivos se cifran para ocultar las actividades de Regin. No hay una tercera etapa de 64 bits, y el módulo de despacho de la cuarta etapa se carga directamente. La DLL del despachador en modo usuario forma el núcleo de Regin y proporciona la base para interactuar con los VFSes, ejecutar complementos, criptografía y funciones de red.

La etapa final es una serie de complementos utilizados para recopilar datos, solo algunos de los cuales de una extensa lista incluyen:

• Sniffer de credenciales HTTP/SMTP/SMB
• Registrador de teclas y espía del portapapeles
• Inicio de sesión de usuario e impersonación
• Rastreador de nombres de usuario y dominio
• Enumeración y manipulación de recursos compartidos de red
• Lector de Registro de Eventos de Windows
• Filtro NDIS
• Inyección de código y enganche
• Extracción de datos de Microsoft Exchange Server

Para evitar la detección, el tráfico de red se cifra entre las víctimas de Regin y el atacante. También establece una red peer-to-peer en redes comprometidas, limitando la cantidad de datos que deben enviarse de vuelta al atacante, ayudando nuevamente a evadir la detección.

Certificados falsos

Los módulos necesarios para la primera etapa en sistemas de 64 bits están firmados por certificados falsos, aparentando provenir de Microsoft y Broadcom para hacerlos parecer auténticos. Al insertar una Autoridad de Certificación (CA) en la cadena de certificados en cada dispositivo, los archivos de Regin son confiados por el sistema local.

Esto es importante, porque agregar un certificado CA es un cambio que puede ser detectado, mientras que muchas de las otras actividades de Regin son más difíciles de descubrir. Y a diferencia de los cambios en el registro de Windows y el sistema de archivos, las modificaciones en el almacén de certificados son poco frecuentes, lo que facilita su auditoría.

Estrategias de prevención

El método de compromiso inicial es desconocido, pero Regin utilizó comparticiones administrativas para moverse por las redes, y se encontró en Active Directory domain controllers, lo que sugiere que es probable que empleados con privilegios administrativos fueran el blanco involuntario de exploits basados en web o correo electrónico.

Entonces, ¿cómo podrías prevenir que una amenaza como Regin infecte la seguridad de tu red?

1. Implemente Windows de 64 bits y elimine los privilegios administrativos de los usuarios
2. Utilice Just Enough Administration (JEA)
3. Implemente la lista blanca de aplicaciones
4. Audite la configuración crítica del sistema en servidores y dispositivos de usuario final
5. No confíes solo en antivirus y cortafuegos