Inicio / Blog / Regin, APT de ciberespionaje

Regin, APT de ciberespionaje

Publicado el 28/11/2014, por INCIBE
Regin, APT de ciberespionaje

Desde hace unos días se viene hablando de Regin una nueva APT avanzada reportada por varias compañías de antivirus, tal y como se refleja en nuestra Bitácora de Ciberseguridad. Esta nueva familia de malware, orientada a sistemas Windows y descubierta por Symantec, que se estima que opera desde al menos el 2008. Los principales objetivos de este malware son el robo de información y facilitar otro tipo de ataques. Actualmente no se conoce el origen de la infección.

Está dotado de módulos que le permiten realizar capturas de pantalla, robar contraseñas, monitorizar el tráfico de red, obtención de información sobre procesos y memoria, recuperación de ficheros eliminados, etc. Toda la información que recopila la almacena en sistemas de ficheros virtuales cifrados (EVFS).

Etapas de regin

Diagrama de los estados de Regin

Su funcionamiento se divide en 6 etapas:

  • Etapa 0: en esta etapa se descarga e instala Regin en el sistema en forma de driver. La vía de infección es desconocida actualmente.
  • Etapa 1: su función es la de cargar y ejecutar la etapa 2. Es la única etapa en la que nos encontramos ficheros sin cifrar.
  • Etapa 2: compuesta por un driver que se encarga de extraer, instalar y ejecutar la etapa 3. Para sistemas de 64 bits la etapa 2 carga directamente la etapa 4.
  • Etapa 3: se encarga de cargar y ejecutar la etapa 4 (sólo en sistemas de 32 bits). Además ofrece un framework a nivel de kernel para las etapas superiores cuyas posibilidades son:
    • Listado de funcionalidades a ejecutar.
    • Funciones para comprimir/descomprimir
    • Funciones para cifrar/descifrar
    • Funciones para trabajar con el sistema de ficheros virtual cifrado (EVFS) empleado en la etapa 4.
    • Funciones de red.
  • Etapa 4: está formada por dos contenedores EVFS, uno que contiene diferentes drivers constituyendo el núcleo de Regin y otro que ofrece una versión de usuario del framework de la etapa 3.
  • Etapa 5: etapa también cargada de un EVFS que contiene los payloads de Regin. Estos payloads difieren dependiendo del sistema víctima y son personalizados al mismo. Algunas de las funcionalidades que incluye son:
    • Captura de tráfico de red a bajo nivel
    • Obtención de información de la máquina, procesos, memoria,…
    • Captura de contraseñas, de pantalla, de clicks de ratón, …
    • Recuperación de ficheros eliminados
    • Captura de tráfico GSM BSC

Regin está orientado principalmente a:

  • Operadores de telecomunicaciones
  • Instituciones gubernamentales
  • Órganos políticos
  • Instituciones financieras
  • Centros de investigación
  • Investigadores en proyectos avanzados de matemática/criptografía

Existen recursos públicos para detectar infecciones por Regin:

También se puede aplicar las siguientes reglas de Snort para detectar y evitar comunicación con los C&C que han sido identificados:

  • alert IP $HOME_NET any <> [61.67.114.73, 202.71.144.113, 203.199.89.80, 194.183.237.145] any (msg: "REGIN C&C";)
  • drop IP $HOME_NET any <> [61.67.114.73, 202.71.144.113, 203.199.89.80, 194.183.237.145] any
Etiquetas: