레긴 (악성 소프트웨어)
레긴(Regin, Prax, QWERTY)는 미국의 국가안보국(NSA)과 영국의 정부통신본부(GCHQ)가 사용하는 복잡한 악성 소프트웨어이자 해킹 툴킷이다.[1][2] 2014년 11월 카스퍼스키 랩, 시만텍, 디 인터셉트에 의해 최초로 공개되었다.[3][4] 이 악성 소프트웨어는 마이크로소프트 윈도우 기반 컴퓨터의 특정 사용자들을 대상으로 동작하며 미국의 국가안보국과 영국의 정부통신본부로 연결된다.[5][6][7] 디 인터셉트는 벨기에 통신 제공업체 Belgacom에서 발견된 악성 소프트웨어를 포함하여 다운로드를 위한 레긴의 샘플들을 제공하였다.[4] 카스퍼스키 랩은 2012년 봄 레긴을 처음 인지하게 되었지만 최초 샘플 중 일부는 2003년부터라고 이야기한다.[8] (레긴이라는 이름은 2011년 3월 9일 바이러스토탈 웹사이트에서 처음 발견되었다.[4]) 전 세계적으로 레긴에 감염된 컴퓨터들 가운데 28%는 러시아, 24퍼센트는 사우디아라비아, 9퍼센트는 각각 멕시코와 아일랜드섬, 5퍼센트는 각각 인도, 아프가니스탄, 이란, 벨기에, 오스트리아, 파키스탄이었다.[9] 카스퍼스키 랩은 최근 다중 공격 벡터 사용을 발견했다. USB 및 BIOS 수정은 다량의 악성 소프트웨어가 포트 1, 2, 3, 5를 통해 주입될 수 있다. 기타 수많은 서비스와 프로세스들이 희생자에게 나타난다. 개발자의 백 룸(back room)은 SHA2 메시지 다이제스트 충돌들을 발견하고 있으며, CPU 시간을 많이 차지한다고 이야기된다. 바이러스 소프트웨어 업데이트가 업데이트를 다소 변경하면(이를테면 사용자 당 256바이트의 랜덤 데이터) 모든 사용자마다 충돌이 발생하게 된다. 카스퍼스키는 이 악성 소프트웨어의 주 희생자는 개인, 중소기업, 통신 기업이라고 언급하였다. 레긴은 스턱스넷과 비교되며 "자원이 잘 꾸려진 개발자 팀들"에 의해 다목적 데이터 수집 도구로서 개발되었다고 간주되며, 서양 국가의 정부로 추정된다.[10][11][12]
디 벨트에 따르면 마이크로소프트의 보안 전문가들은 2011년에 "레긴"이라는 이름을 부여했으며 이는 노르웨이의 교활한 난쟁이 레긴의 이름을 딴 것이다.[13]
동작 원리
편집레긴은 모듈 방식의 접근을 사용하므로 대상에 정확히 맞는 기능들을 불러들이고 맞춤식 첩보 활동을 가능케 한다. 설계상 대상에 대해 영속적이고 장기간의 대량 감시에 매우 최적화되어 있다.[14][15]
레긴은 잠입성이 있으며 감염된 시스템에 여러 개의 파일을 저장하지 않는다. 그 대신 자체적으로 암호화된 가상 파일 시스템(EVFS)를 사용하며 이는 호스트에 무해한 이름의 단일 파일처럼 보이는 파일 안에 포함되어 있는데, 이름이 아닌 특정한 코드로만 식별이 가능하다. EVFS는 드물게 사용되는 RC5 변종 암호화 기법을 사용한다.[15] 레긴은 ICMP/핑, HTTP 쿠키에 심어둔 명령어, 또 봇넷을 이용한 맞춤화된 TCP 및 UDP 프로토콜(추가 페이로드를 업로드하거나 동작 컨트롤 등을 할 수 있음)을 사용하여 인터넷을 경유하며 통신한다.[9][11]
식별 및 명명
편집시만텍은 시만텍과 카스퍼스키 모두 이 악성 소프트웨어를 Backdoor. Regin으로 식별했다고 이야기한다.[9] 카스퍼스키를 포함한 대부분의 바이러스 검사 프로그램들은 (2015년 10월 기준으로) 디 인터셉트가 공개한 레긴의 샘플을 악성 소프트웨어로 식별하지 "않는다".[16] 2011년 3월 9일, 마이크로소프트는 악성 소프트웨어 백과사전(Malware Encyclopedia)에 관련 항목을 추가하였다.[17][18] 이후 2개의 변종인 Regin. B, Regin. C가 추가되었다. 마이크로소프트는 64비트 변종 레긴 Prax. A, Prax. B로 호칭하기 시작핬다. 마이크로소프트의 항목들은 어떠한 기술 정보도 포함하고 있지 않다.[4] 카스퍼스키와 시만텍 모두 이 악성 소프트웨어에 관해 학습한 정보를 백서로 출판하였다.[11][12]
같이 보기
편집각주
편집- ↑ Christian Stöcker, Marcel Rosenbach " Spionage-Software: Super-Trojaner Regin ist eine NSA-Geheimwaffe" Der Spiegel, November 25, 2014
- ↑ http://www.spiegel.de/international/world/regin-malware-unmasked-as-nsa-tool-after-spiegel-publishes-source-code-a-1015255.html
- ↑ “Regin Revealed”. Kaspersky Lab. 2014년 11월 24일에 확인함.
- ↑ 가 나 다 라 Marquis-Boire, Morgan; Guarnieri, Claudio; Gallagher, Ryan (2014년 11월 24일). “Secret Malware in European Union Attack Linked to U.S. and British Intelligence”. The Intercept. 2015년 7월 29일에 원본 문서에서 보존된 문서. 2019년 2월 4일에 확인함.
- ↑ [1]
- ↑ Perlroth, Nicole (2014년 11월 24일). “Symantec Discovers ‘Regin’ Spy Code Lurking on Computer Networks”. 《뉴욕 타임스》. 2014년 11월 25일에 확인함.
- ↑ Gallagher, Ryan. “The Inside Story of How British Spies Hacked Belgium’s Largest Telco”. The Intercept. 2015년 8월 17일에 원본 문서에서 보존된 문서. 2019년 2월 4일에 확인함.
- ↑ Kaspersky:Regin: a malicious platform capable of spying on GSM networks Archived 2015년 5월 30일 - 웨이백 머신, 24 November 2014
- ↑ 가 나 다 “Regin: Top-tier espionage tool enables stealthy surveillance”. Symantec. 2014년 11월 23일. 2014년 11월 25일에 확인함.
- ↑ “BBC News - Regin, new computer spying bug, discovered by Symantec”. bbc.com. 2014년 11월 23일에 확인함.
- ↑ 가 나 다 “Regin White Paper” (PDF). Symantec. 2019년 9월 7일에 원본 문서 (PDF)에서 보존된 문서. 2014년 11월 23일에 확인함.
- ↑ 가 나 “Regin White Paper” (PDF). Kaspersky Lab. 2014년 11월 27일에 원본 문서 (PDF)에서 보존된 문서. 2014년 11월 24일에 확인함.
- ↑ Benedikt Fuest. “Ein Computervirus, so mächtig wie keines zuvor”. Die Welt. 2014년 11월 28일에 원본 문서에서 보존된 문서.
- ↑ “Regin Malware - 'State-Sponsored' Spying Tool Targeted Govts”. 《The Hacking Post - Latest hacking News & Security Updates》. 2017년 2월 18일에 원본 문서에서 보존된 문서. 2019년 2월 4일에 확인함.
- ↑ 가 나 “NSA, GCHQ or both behind Stuxnet-like Regin malware?”. scmagazineuk.com. 2014년 11월 24일. 2016년 6월 16일에 원본 문서에서 보존된 문서. 2014년 11월 25일에 확인함.
- ↑ Virustotal: Detection ratio: 21 / 56
- ↑ Microsoft Malware Protection Center, click button "Malware Encyclopedia
- ↑ Microsoft Protection Center: Trojan:WinNT/Regin.A
외부 링크
편집- Wired article about Regin
- [2] https://github.com/Neo23x0/Loki free Scanner for Simple Indicators of Compromise, also against Regin