بدافزار رجین و نحوه شناسایی آن

بدافزار رجین و نحوه شناسایی آن

چگونه بدافزار رجین (Regin) را شناسایی کنیم؟

 

 

یکی از بزرگ‌ترین شرکت‌های امنیت کامپیو‌تری جهان می‌گوید بدافزار سایبری پیچیده‌ای را کشف کرده که در نوع خود کم‌نظیر است.

شرکت سیمنتک می‌گوید این حفره امنیتی احتمالا توسط یک نهاد دولتی طراحی شده و برای شش سال اهدافی را در سراسر جهان هدف قرار داده است.

 

این بدافزار به نام 'رجین' پس از نفوذ به کامپیو‌تر می‌تواند از صفحات اسکرین شات بگیرد، رمزهای عبور را بدزدد و فایل‌های حذف شده را پیدا کند.

گفته می‌شود شبکه‌های کامپیوتری در کشورهای روسیه، عربستان سعودی و ایرلند، بیش از سایر کشورها هدف این بدافزار قرار گرفته‌اند.

این بدافزار به کامپیوتر نهادهای دولتی، شرکت‌های تجاری و اشخاص حقیقی نفوذ کرده است.

 

شرکت سیمنتک می‌گوید پیچیدگی این بدافزار نشان می‌دهد که یک دستگاه دولتی پشت این پروژه جاسوسی سایبری است.

سیان جان، یکی از متخصصان شرکت سیمنتک می‌گوید: "با توجه به سطح مهارت طراحان و زمانی که صرف توسعه و طراحی بدافزار شده، به نظر می‌آید یک نهاد دولتی در غرب این بدافزار را طراحی کرده باشد."

 

 

معرفی بدافزار رجین و نحوه شناسایی آن

بدافزار رجین (Regin) نوعی بدافزار درب پشتی است که در رده‌ی بدافزارهای با پیچیدگی بالا قرار می‌گیرد. تکنیک‌های استفاده شده در این بدافزار از جمله نادرترین تکنیک‌های به کار رفته در بدافزارهای فضای مجازی است.

 

به گزارش پایگاه خبری فناوری اطلاعات برسام و به نقل از دنیای فناوری اطلاعات، رجین برای نگه داری برخی از ماژول‌های خود به جای استفاده از روش‌های معمول ذخیره‌سازی فایل، از روش‌های پیشرفته‌ای همچون ذخیره‌سازی در NTFS EA و رجیستری بهره برده است. به این ترتیب حجم زیاد مربوط به یک فایل به بخش‌های کوچک تر شکسته شده و هر بخش به صورت رمز شده ذخیره می‌شود. بالعکس در زمان لود فایل کلیه‌ی بخش‌های شکسته شده جمع آوری شده و رمزگشایی می‌شوند. علاوه بر این برای نگه‌داری بخشی از اطلاعات از تکنولوژی فایل سیستم مجازی رمزشده نیز استفاده شده است.

 

رجین با مجموعه‌ی گسترده‌ای از توانایی‌ها و کاربردها پیاده‌سازی شده است که هر یک بنا به هدف مورد حمله به کار گرفته می‌شوند؛ این موضوع به طراحانش امکان می‌دهد تا به راحتی به نظارت، جاسوسی و سرقت اطلاعات از سازمان‌های دولتی، سازمان‌های مادر، بنگاه‌های تجاری و تحقیقاتی و افراد خاص بپردازند.

 

پیچیدگی و سازمان‌دهی مناسبی که در طراحی این بدافزار به کار رفته است نیازمند صرف زمان و برخورداری از منابع قابل توجهی است که نشانگر این مطلب است که طراحی آن هدفمند بوده و از حمایت مالی منابع قدرتمند برخوردار بوده است.

 

در صورتی که فایل‌های زیر در مسیرهای گفته شده در سیستم شما وجود دارد به رجین آلوده شده‌اید.

 

C:\Windows\system32\nsreg1.dat

C:\Windows\system32\bssec3.dat

C:\Windows\system32\msrdc64.dat

 

فایل‌های یاد شده معمولا به عنوان نشانه‌های باقی مانده از رجین در سیستم‌های آلوده به این بدافزار (حتی پس از پاک شدن خود بدافزار) یافت می‌شوند.

 

همچنین برخی از فایل‌های این بدافزار دارای MD5 های زیر می باشد:

 

۰۱c2f321b6bfdb9473c079b0797567ba

۰۶۶۶۵b96e293b23acc80451abb413e50

۱۸۷۰۴۴۵۹۶bc1328efa0ed636d8aa4a5c

۱c024e599ac055312a4ab75b3950040a

۲۶۲۹۷dc3cd0b688de3b846983c5385e5

۲c8b9d2885543d7ade3cae98225e263b

۴۷d0e8f9d7a6429920329207a32ecc2e

۴b6b86c7fec1c574706cecedf44abded

۶۶۶۲c390b2bbbd291ec7987388fc75d7

۷۴۴c07e886497f7b68f6f7fe57b7ab54

b269894f434657db2b15949641a67532

b29ca4f22ae7b7b25f79c1d4a421139d

b505d65721bb2453d5039a389113b566

ba7bb65634ce1e30c1e5415be3d1db1d

bfbe8c3ee78750c3a520480700e440f8

d240f06e98c8d3e647cbf4d442d79475

db405ad775ac887a337b02ea8b07fddc

ffb0b9b5b610191051a7bdf0806e1e47

۱۸d4898d82fcb290dfed2a9f70d66833

b9e4f9d32ce59e7c4daf6b237c330e25

d446b1ed24dad48311f287f3c65aeb80

۸۴۸۶ec3112e322f9f468bdea3005d7b5

da03648948475b2d0e3e2345d7a9bbbb

۱e4076caa08e41a5befc52efd74819ea

۶۸۲۹۷fde98e9c0c29cecc0ebf38bde95

۶cf5dc32e1f6959e7354e85101ec219a

۸۸۵dcd517faf9fac655b8da66315462d

a1d727340158ec0af81a845abd3963c1

de3547375fbf5f4cb4b14d53f413c503

bddf5afbea2d0eed77f2ad4e9a4f044d

c053a0a3f1edcbbfc9b51bc640e808ce

 

کاسپرسکی: کامپیوترهای دفتر ریاست جمهوری کشوری در خاورمیانه به رجین آلوده است

کاسپرسکی: کامپیوترهای دفتر ریاست جمهوری کشوری در خاورمیانه به رجین آلوده است

 

 

 

متخصصان امنیت اینترنت می گویند که بدافزار بسیار پیشرفته ای را شناسایی کرده اند که یک دولت با استفاده از آن به بانک ها، شرکت های مخابرات، شرکت های هوایی و نهادهای رسمی و دولتی نفوذ کرده است و از آنها جاسوسی می کند.

این بدافزار که مایکروسافت آن را رجین (Regin) نامیده، به شکلی طراحی شده که بی آنکه ردی از خود بجا بگذارد، به اعماق شبکه های کامپیوتری نفوذ و برای ماهها یا سالها اطلاعات آن را به بیرون منتقل می کند.

سیمانتک، شرکت امنیت فضای مجازی در آمریکا دیروز در باره این بدافزار گفت: "رجین یک تهدید بسیار پیچیده است که برای جمع آوری سیستماتیک اطلاعات یا در کارهای امنیتی استفاده می شود."

 

به گفته سیمانتک، "تولید و اجرای این بدافزار به سرمایه گذاری قابل توجه، امکانات و وقت نیاز دارد که نشان می دهد یک دولت مسئول آن است."

به گفته ویکرام تکور، مدیر امنیت سیماتک، رجین فقط شماره کارت های اعتباری یا اطلاعات حساب های بانکی را جمع آوری نمی کند، بلکه طوری طراحی شده که با دقت زیاد اسکرین شات می گیرد، فایلهای پاک شده را کپی می‌کند، ارتباطات دیجیتال از جمله مکالمه با موبایل را زیر نظر می گیرد و گذرواژه‌ها را سرقت می کند.

 

شواهدی که از کامپیوترهای آلوده به رجین جمع آوری شده نشان می دهد که این بد افزار دستکم از سال ۲۰۰۸ به کار گرفته شده، اما احتمال دارد نمونه‌های اولیه آن از سال ۲۰۰۳ به کار گرفته شده باشند.

به گفته سیمانتک، نیمی از مواردی که نفوذ رجین به آنها مشخص شده در عربستان سعودی و روسیه بوده است.

متخصصان سیمانتک با توجه به طراحی و عملکرد رجین، حدس می زنند این بدافزار در چین یا روسیه طراحی شده باشد.

برخی از منابع هم از روی شواهد فرعی به این نتیجه رسیده اند که این بدافزار در حملات سایبری به اروپا به کار گرفته شده بود، همان حملاتی که ادوارد اسنودن، دستگاه اطلاعاتی آمریکا و بریتانیا را عامل آن دانسته بود.

سازمان امنیت ملی آمریکا از اظهار نظر درباره رجین خودداری کرده است.

 

 

برخی از کارشناسان رجین را شبیه بدافزار معروف استاکس نت دانسته اند.

به گفته متخصصان سیماتک، رجین از نظر پیشرفته بودن و نوآوری بی رقیب است.

دیروز یک شرکت دیگر امنیت اینترنتی، کاسپرسکی، اعلام کرد که از دو سال پیش این بدافزار را ردگیری کرده و متوجه شده این برنامه "محیرالعقول" با طراحی بسیار پیشرفته خود حداقل به چهارده کشور از جمله ایران نفوذ کرده است.

 

کاسپرسکی در گزارش خود به یک کشور خاورمیانه، بدون ذکر نام، اشاره ویژه ای دارد، در این کشور تمام کامپیوترهای آلوده "با هم در ارتباط هستند و یک شبکه همتا به همتا (P2P) تشکیل می دهند. در این حلقه همتا به همتا، دفتر ریاست جمهوری، یک شبکه موسسات آموزشی و یک بانک نیز وجود دارد."

 

به گفته متخصصان کاسپرسکی، حتی به یکی از کامپیوترهای آلوده به این بدافزار در کشور مورد نظر، نرم افزاری برای ترجمه مکالمات داده شده است. اطلاعات بعد از ترجمه به یک سرور کنترل و فرمان در هند فرستاده می شود.

در میان کشورهایی که نامشان در گزارش کاسپرسکی آمده، فقط ایران و سوریه در خاورمیانه هستند، اما برخی گفته‌اند شاید کاسپرسکی افغانستان و پاکستان را جزء کشورهای خاورمیانه در نظر گرفته است.

 

ایران: گزارشی از ورود رجین نداشته ایم

محمود واعظی وزیر ارتباطات امروز نفوذ رجین را به کشور تکذیب کرد: "مرکز SOC (امنیت شبکه) شرکت زیرساخت در مرکز مخابراتی امام خمینی، قابلیت شناسایی ویروس‌ها و افزارهایی را که از خارج وارد ایران می‌شوند دارد و معمولا با این موارد مقابله می‌کند، اما ما تاکنون گزارشی از ورود ویروس رجین نداشته‌ایم."

 

به گزارش کاسپرسکی، رجین می تواند فرمان های خود را از طریق شبکه ای که به آن نفوذ کرده به شبکه بعدی منتقل می کند و به این ترتیب خود را مخفی نگه دارد.

با این حال، متخصصان هنوز نمی دانند رجین چگونه به کامپیوتر هدف نفوذ می کند، اما سیمانتک می گوید در یک مورد راه نفوذ مسنجر یاهو بوده است.

رجین پس از نفوذ، اطلاعات جمع آوری شده را مخفیانه به یک کانال فرمان و کنترل (C&C) ارسال می کند.

کاسپرسکی رد این سرورهای فرمان و کنترل را در هند (دو سرور)، بلژیک و تایوان یافته است، اما این الزاما به آن معنا نیست که این سرورها واقعا در خود این کشورها کنترل می شوند چون هر کس می‌تواند از هر جا که هست با آدرس اینترنتی هر کشوری سرور راه اندازی کند.

 

کشورهایی که کاسپرکی رد رجین را در آنها گرفته است:

ایران، افغانستان، بلژیک، برزیل، فیجی، آلمان، الجزایر، هند، اندونزی، کیریباتی، مالزی، پاکستان، روسیه و سوریه

پاسخ به:بدافزار رجین و نحوه شناسایی آن

پاسخ به:بدافزار رجین و نحوه شناسایی آن

پاسخ به:بدافزار رجین و نحوه شناسایی آن

پاسخ به:بدافزار رجین و نحوه شناسایی آن

پاسخ به:بدافزار رجین و نحوه شناسایی آن