Regin: Nuova sofisticatezza nelle minacce alla sicurezza persistenti avanzate

A fine novembre, tre dei principali fornitori di antivirus hanno rilasciato dettagli su quello che hanno considerato il virus più sofisticato mai scoperto. Ma definire Regin un virus è in qualche modo sottostimare le sue capacità. Data la sua sofisticatezza, sarebbe più appropriato riferirsi ad esso come una piattaforma di compromissione che permette ai suoi autori, probabilmente supportati da uno o più stati nazionali, di raccogliere informazioni attraverso una varietà di metodi.

Mentre le vittime di Regin sembrano essere state limitate a istituzioni governative, di ricerca, finanziarie, fornitori di servizi di telefonia mobile e accademiche in certi paesi, la sua complessità e competenza nel raccogliere informazioni, e nel rimanere non rilevato per lunghi periodi di tempo, dovrebbero preoccuparci tutti.

Regin passo dopo passo

Ci sono cinque fasi nel processo di installazione, a partire da un servizio o driver Windows. Viene poi installato altro codice, abilmente nascosto e criptato negli Attributi Estesi NTFS, o nel registro su dispositivi con volumi FAT/FAT32; o alla fine dell'ultima partizione del disco su sistemi a 64 bit.

La versione a 32 bit ha una terza fase, utilizzando un driver per creare sistemi di file virtuali (VFSes) nei quali i file vengono criptati per nascondere le attività di Regin. Non esiste una terza fase per la versione a 64 bit, e il modulo dispatcher della quarta fase viene caricato direttamente. La DLL dispatcher in modalità utente costituisce il nucleo di Regin e fornisce la base per interagire con i VFSes, eseguire plugin, crittografia e funzioni di rete.

L'ultima fase è una serie di plugin utilizzati per raccogliere dati, solo alcuni dei quali da un'ampia lista includono:

• Sniffer di credenziali HTTP/SMTP/SMB
• Keylogger e sniffatore di appunti
• Accesso e impersonificazione dell'utente
• Rilevatore di nome utente e dominio
• Enumerazione e manipolazione delle condivisioni di rete
• Lettore di Windows Event Log
• Filtro NDIS
• Iniezione di codice e hooking
• Estrazione dei dati di Microsoft Exchange Server

Per evitare il rilevamento, il traffico di rete è criptato tra le vittime di Regin e l'attaccante. Stabilisce anche una rete peer-to-peer sui network compromessi, limitando la quantità di dati che devono essere inviati indietro all'attaccante, aiutando nuovamente a sfuggire al rilevamento.

Certificati falsi

I moduli necessari per la prima fase sui sistemi a 64 bit sono firmati con certificati falsi, che sembrano provenire da Microsoft e Broadcom per renderli autentici. Inserendo un'Autorità di Certificazione (CA) nella catena di certificati su ogni dispositivo, i file di Regin sono considerati affidabili dal sistema locale.

Questo è importante, perché l'aggiunta di un certificato CA è una modifica che può essere rilevata, mentre molte delle altre attività di Regin sono più difficili da scoprire. E a differenza delle modifiche al registro di Windows e al file system, le modifiche al certificate store sono rare, rendendolo facile da verificare.

Strategie di prevenzione

Il metodo di compromissione iniziale è sconosciuto, ma Regin ha utilizzato condivisioni amministrative per spostarsi nelle reti ed è stato trovato su Active Directory domain controller, suggerendo che è probabile che i dipendenti con privilegi amministrativi siano stati inconsapevolmente presi di mira da exploit basati su web o email.

Quindi, come potresti prevenire una minaccia come Regin che infetta la tua sicurezza di rete?

1. Distribuisci Windows a 64 bit e rimuovi i privilegi amministrativi dagli utenti
2. Usa Just Enough Administration (JEA)
3. Implementare la whitelist delle applicazioni
4. Verifica la configurazione critica del sistema su server e dispositivi degli utenti finali
5. Non affidarti solo agli antivirus e ai firewall