大东话安全之狰狞版神奇宝贝丨专栏

中科院之声特意邀请业内专家“大东”开设“大东话安全”专栏，讲述54个不同的网络病毒和网络安全故事。...



编者按：网络空间安全近年来日渐成为公众关注的焦点，中科院之声特意邀请业内专家“大东”开设“大东话安全”专栏，以《安天威胁通缉令2016扑克牌》为线索，一张扑克牌对应一个网络病毒，讲述54个不同的网络病毒和网络安全故事，以及如何进行针对性防御的建议。一、谶曰

哈利法克斯：恶意必须披上坦率的外衣，否则它就会暴露无遗。

大东：邪恶必须穿上率直的外衣，否则它只能原形毕露。

小白：我必须紧跟大东前进的步伐，否则容易暴露智商。

二、病毒通缉令

小白：这个这个我认识！神奇宝贝！火箭队的阿柏怪蛇！咳咳，既然你诚心诚意发问了，我就大发慈悲地告诉你，为了防止世界被破坏……

大东：打住，打住！小白你看清楚，有这么狰狞的神奇宝贝嘛，这是咱们今天要讲的 Regin。

小白：嘿嘿，童年记忆一说就停不下来了~

大东：这个 Regin 是一款多阶段模块化的恶意软件，主要是利用中间人攻击的手法收集数据和持续监视目标组织或个人。它在2014年被发现，被用于攻击10个国家的约100个机构或系统。据推测，该恶意软件由政府机构资助。

小白：哇，那比阿柏怪厉害多了，还是大东东你继续说吧~~

大东：得嘞！

三、拼装监视器

大东：这个 Regin 和其他 APT 不太一样，它的目的不仅在于收集重要数据，它也可以用以持续监测某个组织或个人。

小白：exm？相当于一台监视器！那我岂不是赤裸裸地展现在它面前了吗！

大东：你可以这么理解。Regin 是被赛门铁克发现的 APT 威胁。2014年11月发布的一份报告中指出：Regin 是一个多阶段的模块化威胁。这意味着它由多个功能相互依赖的组件组成。

各有所用的组件

小白：大东东，你说得好高深，听不懂啊！

大东：别急，听我慢慢解释。这“多阶段的模块化”是指，该软件在一个框架内，有多级架构，每一个阶段完成自己特有的工作，每个模块从最基本功能开始，并扩展到特定的攻击，层层深入，增加窃听功能。就好比用乐高堆坦克，每块零件都是它的组成部分，都是其功能的拓展。

小白：组装的 ATP~

大东：可以这么理解。Regin 的第一阶段，主要目的是将自己写入内存中，用于安装并执行第二阶段驱动程序，负责创建扩展属性。同时比起其他阶段，它是唯一显而易见的代码，比较容易检测到，但也像多米诺骨牌的第一张牌一样，一旦启动，就会连锁启动后续的阶段，并逐步把它们隐蔽起来。

小白：结构好复杂的样子！

大东：从第二、三阶段开始，都属于支持模块，是为了注册系统服务或者关联注册表，以便在计算机启动时，就能自动加载驱动程序，同时提取、安装、运行第四阶段。

小白：要开始了吗！

大东：第四阶段负责从附加记录中找到记录，安装和配置恶意软件的内部服务，压缩、加密程序，或者存到非传统文件存储区域。简单地说，就是为了武装自身，提高被检测的难度。

小白：小样儿！还想隐身？

大东：在第五阶段，Regin 开始增加网络数据包驱动、安装 Rootkit 恶意软件等等，为第六阶段做好铺垫。

小白：这是准备干坏事了吧！

大东：是的。在第六阶段，Regin 开始收集计算机信息、窃取密码、收集进程和内存信息，就算是你删除的东西，他们也会进行重新检索。同时还会截获用户鼠标点击功能，从被感染的计算机上捕捉截图，监控网络流量、分析电子邮件等等。

小白：真是可恶啊！

签名验身份

大东：根据赛门铁克发布的 Regin 报告可以看出，攻击目标包括私营企业、政府机关和研究机构。近半数的感染是个人和小型企业。以及同美国棱镜计划相似，以窃取通话的内容为目的来对电信公司进行攻击。同时感染的地区也非常广，主要来自十个国家，其中俄罗斯和沙特阿拉伯最为严重。

小白：真可怕！有没有啥预防措施呢？

大东：防范这种恶意软件，我们要从源头开始。比如，不要从不正规的网站下载应用。

小白：一定要从正规应用市场或者官网上下载。

大东：说得对！同时注意，只要下载时不安装没有数字签名的软件，就不会感染恶意软件。因为数字签名就像人的身份证一样，而恶意软件的开发者是不敢“实名制”的。

小白：怎么看有没有数字签名呢？

大东：右击你下载的软件安装包，选择属性，就能够看到数字签名一栏。

小白：原来如此~~

四、小白内心说

小白：东哥，这款恶意软件略复杂啊，我听你讲都好不容易才理解的，开发这个软件的人得有多么大一个脑袋啊！

大东：从 Regin 的复杂设计来看，开发这一恶意软件需要投入大量时间和资源，显然不像是一个人能独自开发的，其背后应该是有组织的，我估计这个组织还不是一般般的二流角色呢！

小白：这样苦心开发一个监视软件，值得吗？东哥。

大东：这就不得不再次提到 APT 攻击的特点了，潜伏性和持续性。黑客就像潜伏在黑暗处的狙击手，不达目的誓不罢休，渗透的恶意软件可能很长时间一段时间内都会蛰伏，伺机而动，当然这种有背景的恶意软件的开发肯定有其不可告人的秘密。

小白：果然，这是一个看后台的年代啊！

大东：你唉声叹气干嘛，你我就老老实实，一步一个脚印努力，这个年代不会埋没那些努力的人的！

五、话说漫威

大东：在网络世界中，人们的安全意识和技能在不断地加强，要想从目标中直接套取信息已经变得非常的困难，Regin 就利用中间人攻击的手法，以“半路拦截”的方式收集数据和持续监视目标组织或个人。

小白：啧啧，难道不知道“盗亦有道”吗！

大东：你这么一说，我想起了漫威世界的白皇后，她就是直接从目标上获取信息。

小白：什么什么？

大东：白皇后出生在美国波士顿的一个富有家庭，她父亲是个冷酷无情又独裁的商人，母亲因为家庭压力滥用精神方面的药品。而她从小就有读取他人思维与记忆，强制修改对方的记忆，控制其思维，进行精神屏蔽的超能力。

小白：哇！这样的超能力给我也来一打~

大东：白皇后的心灵感应能力是不逊于X教授的。她曾把这种能力用于读取同学的思维和考试的答案，而且还收集了大量同学的私密信息。

小白：她竟然能忍住不做坏事，嘿嘿~

大东：小白你又在想什么鬼点子。

小白：因吹斯汀~嘿嘿，大东东下次继续讲昂~

来源：中国科学院计算技术研究所

    关注 中科院之声