Backdoor Regin

Written by codeluux

reginGeçtiğimiz Pazar Symantec’in güvenlik raporunda yer alan Regin zararlısının geçmişi 2008 yılına dayanıyor. Devletler ve şirketler üzerinde casusluk faaliyeti gösteren kompleks yapıdaki bu zararlının; hedef bilgisayar üzerinde ileri derecede sinsi bir şekilde siber espiyonaj faaliyetleri gösterdiği, izleme yaparak verileri ele geçirdiği tespit edilmiştir. Özelleştirilebilir geniş yetenekleri ile hedefe bağlı olarak görevlendirildiği, Weevil, Flamer, Stuxnet gibi zararlılar ile benzer özellikler gösterdiği, çok aşamalı şekilde, her bir saldırısında ayrı bileşenler kullandığı belirlenmiştir.

  • Adı : Backdoor Regin
  • Keşif tarihi : 12.12.2013
  • Diğer isimleri : Regin-Fam, SokBmzvPs
  • Tipi: Trojan
  • Seviye : Kritik
  • Platform : Windows 2000, Windows 7, Windows NT, Windows Vista, Windows XP

Her ne kadar 2013 yılında adı konulup teşhis edilsede, bu tarihten önceki varyantları Backdoor.Trojan.GR olarak adlandırılmaktadır. Yeni varyantı 64 bitlik işletim sistemlerine yönelik oluşturulmuştur.

Çalıştığında usbclass.sys ve adpu160.sys isimli iki dosya oluşturur. Ardından şifrelenmiş sanal dosya sistemi olan (EVSFs) kullanarak çeşitli dosyaları oluşturur:

  • %System%\config\SystemLog.evt
  • %System%\config\SecurityLog.evt
  • %System%\config\ApplicationLog.evt
  • %Windir%\ime\imesc5\dicts\pintlgbp.imd
  • %Windir%\ime\imesc5\dicts\pintlgbs.imd

Ardından aşağıdaki dosyaları oluşturur:

  • msdcsvc.dat
  • msrdc64.dat
  • ApplicationLog.dat
  • %System%\config\SystemAudit.Evt
  • %Windir%\system32\winhttpc.dll
  • %Windir%\system32\wshnetc.dll
  • %Windir%\SysWow64\wshnetc.dll
  • %Windir%\system32\svcstat.exe
  • %Windir%\system32\svcsstat.exe

Daha sonra aşağıdaki dosya ve klasörlere müdahale ederek şifreleme yapar ve bileşenlerinin çalıştırmasına engel olur:

  • %Windir%
  • %Windir%\cursors
  • %Windir%\fonts
  • %Windir%\System32
  • %Windir%\System32\drivers

Kayıt defterinde aşağıdaki girdileri oluşturur:

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4F20E605-9452-4787-B793-D0204917CA58}
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4F20E605-9452-4787-B793-D0204917CA5A}
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\RestoreList\VideoBase

Bu şekilde saldırgan ICMP, UDP, TCP ve HTTP protokollerinin yönetimini ele geçirir ve ağ trafiğini dinler, sistem bilgilerini öğrenir, şifreleri ele geçirir, dosya sistemi üzerinde istediği gibi dolaşır, silinen dosyalar veya loglar üzerinde forensic aktivitesi gerçekleştirebilir, kullanıcı faaliyetlerine örneğin klavye ve fareye müdahale edebilir, ekran görüntüsü alabilir.

Korkutucu değil mi?

Yorum bırakın