自2008年起，一款名为Regin的先进恶意软件就已经被用于针对许多跨国目标的系统性间谍活动中。Regin是一款复杂的后门木马恶意软件，其结构设计具有罕见的技术能力。根据攻击目标，Regin具有高度可定制化功能，能够使攻击者通过强大的框架进行大规模监视，并且已经被用于监视政府机关、基础设施运营商、企业、研究机构甚至针对个人的间谍活动中。

　　Regin的开发者投入了大量的心思来隐匿其行踪，这款恶意软件的开发时间就算不耗费数年，也可能耗费数月时间来完成。Regin强大的功能和其背后支撑的强大资源说明，这是一款国家级使用的重要网络间谍工具。

　　赛门铁克最新发布的一份技术白皮书提到，Backdoor.Regin具有多个阶段，除第一阶段外，其他各级阶段都非常隐蔽并经过了加密处理。执行第一阶段会启动一连串类似多米诺骨牌效应的解密作业，并加载后续阶段。Regin总共五个阶段，每个阶段仅提供非常有限的关于完整程序包的信息。只有截获全部五个阶段的数据，才能分析和理解它的具体威胁。

图1：Regin的五个阶段

　　Regin使用模块化方法，可针对攻击目标加载定制功能。这种模块化方法也被用于其他复杂恶意软件系列，例如Flamer和Weevil（即“面具”），而多阶段加载架构类似于 Duqu/Stuxnet 威胁系列。

　　时间进程和攻击目标概述

　　在2008年至2011年间，赛门铁克观察到Regin已经感染了多个组织机构，而在此之后，它却突然销声匿迹。从2013年起，该恶意软件的新版本再次浮出水面，攻击目标包括私营企业、政府机关和研究机构。近半数的感染是以个人和小型企业为目标。针对电信公司的攻击，也意在通过访问其基础设施获取通话内容。

图2：已经证实的Regin感染状况（按领域）

　　感染事件所发生的地区分布广泛，已确定的感染区域主要来自十个国家地区。

图3：已证实的Regin感染分布（按国家和地区）

　　感染媒介和有效负载

　　感染媒介因攻击目标而异，截至本文撰写时，尚未发现可复制媒介 (reproducible vector)。赛门铁克认为，某些目标受害者可能被诱骗访问假冒的知名网站，该恶意软件可能通过网络浏览器或应用漏洞安装入侵。

 　　据某台电脑上的日志文件显示，Regin通过未经证实的方式，由Yahoo! Instant Messenger入侵电脑。

　　Regin使用模块化方法，威胁操控者可灵活地根据需要，对单个目标加载定制功能。某些定制的有效负载极为先进，显现出极高的专业领域知识，进一步证明了Regin开发者能够调配大量资源。

　　Regin的有效负载具有几十种之多。该恶意软件的标准功能包括多种远程访问木马(Remote Access Trojan，RAT)功能，例如，捕捉屏幕截图、控制鼠标的点击功能、窃取密码、监控网络流量和恢复删除文件等。

　　目前发现了更多特定且先进的有效负载模块，例如Microsoft IIS网络服务器流量监测器，以及手机基站控制器管理的流量嗅探器。

　　隐秘性

　　Regin的开发者花费了大量精力来确保它的隐秘性。其极难被发现的低调特性，使它可能在过去的数年里被应用于各种间谍活动中。即使被检测出来，也很难确定它具体从事何种活动。赛门铁克只能在破解样本文件后，才能分析其有效负载。

　　Regin具有多种“隐秘”功能，包括反取证功能、定制的加密虚拟文件系统 (EVFS) ，以及非常用的以RC5变种形式呈现出来的替代加密方式。Regin使用多种先进复杂的方法与攻击者秘密沟通，包括通过ICMP/ping，在HTTP cookies中嵌入命令，以及采用定制TCP和UDP协议实现通信目的。

　　结论

　　Regin是一款高度复杂的恶意软件，被用于系统性的数据收集或情报收集活动。它的开发和运作需要投入大量时间和资源，这表明该恶意软件可能是由某国家作为背后支持。复杂的设计使它非常适合对目标进行长期的监视活动。

对Regin的发现表明，用于情报收集工具的持续投资如此之大。赛门铁克认为，Regin的许多组件尚未被发现，并且很可能存在其他的功能和不同版本。赛门铁克将持续进行深入分析，并及时发布任何最新发现。