Regin, Malware de espionaje

Ha salido a la palestra un nuevo malware llamado Regin. Esta nueva amenaza se ha presentado como una pieza muy sofisticada y de la que todavía no se conocen todas sus características.
Para el artículo me he basado en dos empresas que han publicado información sobre ello:

Symantec
http://www.symantec.com/connect/blogs/regin-top-tier-espionage-tool-enables-stealthy-surveillance
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/regin-analysis.pdf

Kaspersky Great Team: 
https://securelist.com/blog/research/67741/regin-nation-state-ownage-of-gsm-networks/
https://securelist.com/files/2014/11/Kaspersky_Lab_whitepaper_Regin_platform_eng.pdf

El inicio

En las investigaciones las muestras de Regin se crearon en el año 2003, según la información analizada por Kaspersky la muestra de Regin ha afectado a:

  • Los operadores de telecomunicaciones
  • Las instituciones gubernamentales
  • Órganos políticos multinacionales
  • Las instituciones financieras
  • Instituciones de investigación
  • Las personas que participaron en investigación matemática/criptográfia avanzada
 Básicamente se han observado dos principales objetivos de los atacantes:
  • La recogida de información
  • Facilitar otros tipos de ataques
Vector de infección:

Las hipótesis de infección inicial es un misterio, al parecer se barajan posibilidades de ataques MITM, explotando fallos 0day en los navegadores. En la investigación no se han encontrado exploits de ningún tipo. Se encontraron controladores de dominio infectados, desde donde se pudieron infectar el resto de los ordenadores de la red.

Plataforma modular

La muestra de malware es modular como muchas de las muestras que operan a este nivel, el esquema se representa de la siguiente forma:

Esquema de infección
En las máquinas infectadas se podían encontrar los siguientes archivos:
  • %SYSTEMROOT%\system32\nsreg1.dat
  • %SYSTEMROOT%\system32\bssec3.dat
  • %SYSTEMROOT%\system32\msrdc64.dat
La infección era la misma para sistemas 32 y 64 bits, salvo con alguna diferencia en la fase 3, ya que en los sistemas 64 bits ya hace la pre-carga de ciertos elementos

VFSes

Después de leer el informe de Kaspersky y Symantec, una de las cosas que me han parecido mas interesantes es el uso de Virtual File Systems (VFSes). Hemos de entender los VFSes, como contenedores tipo "truecrypt", donde estará la parte interesante del código. Para obtener los archivos dentro del contenedor, había que hacer ingeniería inversa y tratar de encontrar la clave tal y como hizo el GREAT

Clave VFS de descifrado
La clave se encontraba en el módulo dispatcher (disp.dll)
Estos archivos se encontraban con nombre aleatorio en el disco duro y pudieron encontrar hasta 24 VFSes
Nombres de os VFEes encontrados

En la primera fase el malware, es almacenado como atributos extendidos NTFS o entradas del registro. Estos se unen de forma dinámica, se descifran y ejecutan en memoria.

Loader

Analizando el loader (01c2f321b6bfdb9473c079b0797567ba) del informe del Great Team de Kaspersky

Scanned on : 
2012-10-14 20:33:17

Detections:
29/44 Positives/Total

Vendor Name Result Version Last Update
Sophos Troj/Regin-B 4.81.0 20121014
Kaspersky UDS:DangerousObject.Multi.Generic 9.0.0.837 20121014
Trend Micro TROJ_GEN.R47C1JD 9.561.0.1028 20121014

Results for MD5    : 01c2f321b6bfdb9473c079b0797567ba
Results for SHA1   : 5031f07749c2639e57a6628a4361fe363d77c34e
Results for SHA256 : 392f32241cd3448c7a435935f2ff0d2cdc609dda81dd4946b1c977d25134e96e
Permanent Link : https://www.virustotal.com/file/392f32241cd3448c7a435935f2ff0d2cdc609dda81dd4946b1c977d25134e96e/analysis/1350246797/

La muestra estaba subida a VT en 2012, bastante después de cuando se crearon. En el timestamp de la muestra se puede verificar dicha fecha de compilación:

Type Data
File Name           01c2f321b6bfdb9473c079b0797567ba
File Size           72192 byte
Compile Time        25/03/2003 2:05
DLL               True
Sections            7
Hash MD5            01c2f321b6bfdb9473c079b0797567ba
Detected            Anti Debug, Anti VM
Directory           Import, Resource, Relocation

Parece que la muestra tiene algunos tricks anti-debug:

Anti Debug discovered [1]
------------------------------------------------------------
Function           ZwQueryInformationFile

Anti VM Trick discovered [1]
------------------------------------------------------------
Trick              VMCheck.dll

Suspicious API discovered [1]
------------------------------------------------------------
Function           ZwQueryInformationFile

Esto es aplicado por los desarrolladores de la muestra, para evitar ser analizada por los investigadores.
Para este caso particular Regin, estaba viendo protegido aplicando este y otros métodos de cifrado. Hacía falta tener todas las partes del bicho para poder entender su funcionamiento

Cuando he mirado la muestra he querido ver si estaba firmada:

Resultado Sigcheck
En la muestra está indicado que el Publisher es Microsoft y como Description SER8UART Port Driver (http://ser8uart-driver.sourceforge.net/)

Módulos del Malware

El malware contiene varios módulos y cada uno de ellos contiene funcionalidades específicas. Algunas de las mas interesantes:

ID Description
15 Peer encryption keys
50013  List of processes (‘snort.exe’, ‘wireshark.exe’, ‘rundll32.exe’, etc.)
50049 Log of GSM base station commands. Very rare, most interesting
50233 Process file name list (Explorer.exe, VMWareService.exe, Update.exe, Msiexec.exe, MailService.exe, etc.)

El malware contiene comprobaciones para algunas de las soluciones de seguridad como son Snort o analizadores de tráfico como Wireshark.

Strings en VFEes

Cuando hago las conferencias y hablo de evolución siempre explico que, los desarrolladores de malware cometían errores en el desarrollo de las muestras y es verdad, que al cabo de los años ya es difícil encontrar errores de desarrollo, se ha profesionalizado mas esta especialidad.

En los análisis de los VFEes, se han encontrado referencias como pueden ser:

Referencias a Starbucks
Estas y otras referencias ayudan a entender la magnitud y alcance del ataque.

Ataque a empresa GSM

Otra de las cosas espeluznantes del informe es el ataque detectado por el Great a un operador GSM. Obviamente el poder tener infraestructura GSM facilita poder realizar otros tipos de ataque.

Estructura de una red GSM
No es complicado de imaginar, que el poder atacar una estructura de este tipo requiere conocimientos a bajo nivel de como funciona una infraestructura de este tipo y conocer muy bien como funcionan este tipo de equipos.

C&C

La parte del "Command and control" también es interesante. Todas las comunicaciones de las mñaquinas infectadas, comunicaban con otras máquinas de la misma red y luego otras conexiones hacia el C&C. Las comunicaciones se llevaban a cabo de la siguiente forma:

Organización del C&C
Si recordamos como funcionaba la infección del Murofet, tenemos como súper nodos, "President's office, Research institute and the Bank". La "Educational institution" haría de proxy contra el C2 que estaría en este caso en India.
Después de los análisis estas son las IP's y funciones de la infraestructura maliciosa.

Información del C&C
Víctimas

De los usuarios infectados por Regin, tenemos hasta 14 localizaciones:

Infecciones por país
Como veis una infección a gran escala. Hay un caso curioso y es la infección de Kiribati, una isla con 100.000 habitantes.

Autoría del ataque

No han dicho que País o países estaba financiando dicho ataque, pero está claro que una sofisticación de un ataque de este tipo ha de estar organizado por un grupo financiado por alguna nación al igual que pasaba con Stuxnet.
Empresas como Fox-IT en un comunicado a SCMagazine UK, dicen que podría ser un ataque organizado por Estados Unidos y Reino Unido


La gente de F-Secure comenta que había visto infecciones de Regin en 2009 y que en este caso no provienen de China o Rusia.


1 comentarios:

  1. Với sự phát triển của thương mại điện tử, quý khách hàng muốn mua những mặt hàng tại Nhật Bản. Nhưng vì khoảng cách, thời gian, tiền bạc, những điều bất thuận lợi làm quý khách không thể mua được những món hàng tại xứ sở hoa anh đào này. Vậy hãy sử dụng
    nhận chuyển hàng từ nhật bản về việt nam
    dịch vụ ship hàng từ nhật về việt nam
    nhận ship hàng từ nhật về hà nội
    ship đồ từ nhật về việt nam
    dịch vụ vận chuyển hàng từ nhật về việt nam
    nhận ship hàng từ nhật về việt nam
    nhận ship hàng từ nhật về tphcm
    Dịch vụ mua hàng - order hàng -chuyển hàng từ Nhật về Việt Nam nhanh chóng, an toàn, tiết kiệm được nhiều chi phí.
    dịch vụ fado mua sắm các mặt hàng tại amazon Nhật hoặc Mỹ.

Publicar un comentario