Reginは一連の洗練された諜報ツールキットの中で最新のもので、世界中の広範な組織を標的に使用されている。既報の通り、活動中のマルウェア群でさらに複雑なものの1つで、他の数多くのツールキットとまったく同様に背後には長い歴史がある。我々は約6年前の2009年の初頭に初めてReginと遭遇した。北ヨーロッパの顧客の環境にあるWindowsサーバ上にそれが隠れているのを見つけた。
そのサーバはたびたびクラッシュし、悪名高いブルースクリーンになっており、トラブルの兆候を示していた。「pciclass.sys」という、当たり障りのない名前を持つドライバがクラッシュを引き起こしているように見受けられた。より詳細な分析を行うと、当該ドライバは実はルートキットであった。もっと厳密に言うとReginの初期のバリアントの1つだった。
上のスクリーンショットで認められるとおり、このドライバは明らかに既に2008年3月7日にはコンパイルされているが、それより早いタイムスタンプのある他のサンプルによって、作戦はさらにこれよりも前であることが示唆されている。
結局のところ、複数の段階がある脅威における1つのコンポーネントに過ぎないことが分かった。このドライバはレジストリキーかNTFSファイルシステムの拡張アトリビュートを使って、次の段階のマルウェアを読み込める。ドライバに埋め込まれた設定が、このことを示している。
我々は少なくとも以下のレジストリキーが、次の段階のペイロード用に使用されているのを目にした。
• \REGISTRY\Machine\System\CurrentControlSet\Control\Class\{9B9A8ADB-8864-4BC4-8AD5-B17DFDBB9F58}:Class
• \REGISTRY\Machine\System\CurrentControlSet\Control\Class\{4F20E605-9452-4787-B793-D0204917CA58}:Class
• \REGISTRY\Machine\System\CurrentControlSet\Control\RestoreList:VideoBase
以下のフォルダには名前に「_」が付いたNTFS拡張アトリビュートが格納されており、また次の段階のペイロードも格納されているのが見られた。これは実際には2つの異なるアトリビュートに分割され得る。
• %WINDIR%
• %WINDIR%\security
• %WINDIR%\repair
• %WINDIR%\msapps
• %WINDIR%\msagent
• %WINDIR%\Cursors
• %WINDIR%\fonts
• %WINDIR%\Temp
• %WINDIR%\msagent\chars
• %WINDIR%\Help
• %WINDIR%\inf
• %WINDIR%\Spool\Printers
• %WINDIR%\CertSrv
2013年および2014年の間、我々はより新しいバージョンのReginを分析してきたので、攻撃における複雑さと洗練度合が非常に明確になってきた。我々はReginを、Stuxnetや、Flame、Turla/Snakeのようなものと共に、高度に洗練された諜報作戦という同一のカテゴリに配する。
いつもながら、このような事案で出所を特定するのは難しい。我々の感じるところでは、このマルウェアは珍しくロシアや中国から来たものではない。
そのサーバはたびたびクラッシュし、悪名高いブルースクリーンになっており、トラブルの兆候を示していた。「pciclass.sys」という、当たり障りのない名前を持つドライバがクラッシュを引き起こしているように見受けられた。より詳細な分析を行うと、当該ドライバは実はルートキットであった。もっと厳密に言うとReginの初期のバリアントの1つだった。
上のスクリーンショットで認められるとおり、このドライバは明らかに既に2008年3月7日にはコンパイルされているが、それより早いタイムスタンプのある他のサンプルによって、作戦はさらにこれよりも前であることが示唆されている。
結局のところ、複数の段階がある脅威における1つのコンポーネントに過ぎないことが分かった。このドライバはレジストリキーかNTFSファイルシステムの拡張アトリビュートを使って、次の段階のマルウェアを読み込める。ドライバに埋め込まれた設定が、このことを示している。
我々は少なくとも以下のレジストリキーが、次の段階のペイロード用に使用されているのを目にした。
• \REGISTRY\Machine\System\CurrentControlSet\Control\Class\{9B9A8ADB-8864-4BC4-8AD5-B17DFDBB9F58}:Class
• \REGISTRY\Machine\System\CurrentControlSet\Control\Class\{4F20E605-9452-4787-B793-D0204917CA58}:Class
• \REGISTRY\Machine\System\CurrentControlSet\Control\RestoreList:VideoBase
以下のフォルダには名前に「_」が付いたNTFS拡張アトリビュートが格納されており、また次の段階のペイロードも格納されているのが見られた。これは実際には2つの異なるアトリビュートに分割され得る。
• %WINDIR%
• %WINDIR%\security
• %WINDIR%\repair
• %WINDIR%\msapps
• %WINDIR%\msagent
• %WINDIR%\Cursors
• %WINDIR%\fonts
• %WINDIR%\Temp
• %WINDIR%\msagent\chars
• %WINDIR%\Help
• %WINDIR%\inf
• %WINDIR%\Spool\Printers
• %WINDIR%\CertSrv
2013年および2014年の間、我々はより新しいバージョンのReginを分析してきたので、攻撃における複雑さと洗練度合が非常に明確になってきた。我々はReginを、Stuxnetや、Flame、Turla/Snakeのようなものと共に、高度に洗練された諜報作戦という同一のカテゴリに配する。
いつもながら、このような事案で出所を特定するのは難しい。我々の感じるところでは、このマルウェアは珍しくロシアや中国から来たものではない。
