Regin: Nova Sofisticação em Ameaças Persistentes Avançadas de Segurança

No final de novembro, três grandes fornecedores de antivírus divulgaram detalhes sobre o que consideraram o vírus mais sofisticado já descoberto. Mas chamar o Regin de vírus é subestimar suas capacidades. Tal é sua sofisticação, seria mais apropriado referir-se a ele como uma plataforma de comprometimento que permite aos seus autores, provavelmente apoiados por um ou mais estados-nação, coletar inteligência por meio de uma variedade de métodos.

Embora as vítimas do Regin pareçam ter sido limitadas a instituições governamentais, de pesquisa, financeiras, provedores de serviços de telefonia móvel e acadêmicas em certos países, sua complexidade e proficiência na coleta de informações, e em permanecer não detectado por longos períodos de tempo, devem nos preocupar a todos.

Regin Passo a Passo

Existem cinco etapas para o processo de instalação, começando com um serviço ou driver do Windows. Mais código é então instalado, habilmente oculto e criptografado em Atributos Estendidos NTFS, ou no registro em dispositivos com volumes FAT/FAT32; ou no final da última partição do disco em sistemas de 64 bits.

A versão de 32 bits possui um terceiro estágio, utilizando um driver para criar sistemas de arquivos virtuais (VFSes) nos quais os arquivos são criptografados para ocultar as atividades do Regin. Não há um terceiro estágio de 64 bits, e o módulo despachante do quarto estágio é carregado diretamente. A DLL despachante em modo de usuário forma o núcleo do Regin e fornece a base para interagir com os VFSes, executar plugins, criptografia e funções de rede.

A etapa final é uma série de plugins usados para coletar dados, apenas alguns dos quais de uma extensa lista incluem:

• Capturador de credenciais HTTP/SMTP/SMB
• Keylogger e sniffer de área de transferência
• Logon de usuário e personificação
• Detetor de nome de usuário e domínio
• Enumeração e manipulação de compartilhamento de rede
• Leitor de Registro de Eventos do Windows
• Filtro NDIS
• Injeção de código e hooking
• Extração de dados do Microsoft Exchange Server

Para evitar detecção, o tráfego de rede é criptografado entre as vítimas do Regin e o atacante. Ele também estabelece uma rede peer-to-peer em redes comprometidas, limitando a quantidade de dados que precisam ser enviados de volta ao atacante, ajudando novamente a evitar detecção.

Certificados Falsos

Os módulos necessários para a primeira fase em sistemas de 64 bits são assinados por certificados falsos, parecendo vir da Microsoft e da Broadcom para parecerem autênticos. Ao inserir uma Autoridade Certificadora (CA) na cadeia de certificados em cada dispositivo, os arquivos do Regin são confiáveis pelo sistema local.

Isso é importante, pois adicionar um certificado CA é uma alteração que pode ser detectada, enquanto muitas das outras atividades do Regin são mais difíceis de descobrir. E ao contrário das alterações no registro do Windows e no sistema de arquivos, as modificações no repositório de certificados são raras, facilitando a auditoria.

Estratégias de Prevenção

O método inicial de comprometimento é desconhecido, mas o Regin usou compartilhamentos administrativos para se mover pelas redes e foi encontrado em controladores de Active Directory domain, sugerindo que é provável que funcionários com privilégios administrativos tenham sido alvos involuntários de explorações via web ou e-mail.

Então, como você poderia prevenir uma ameaça como Regin de infectar a segurança da sua rede?

1. Implante o Windows de 64 bits e remova os privilégios administrativos dos usuários
2. Use Just Enough Administration (JEA)
3. Implemente a lista de permissões de aplicativos
4. Audite a configuração crítica do sistema em servidores e dispositivos de usuários finais
5. Não confie apenas em antivírus e firewalls