找回密码
 注册创意安天

Regin模块50251和Qwerty击键记录器之对比【安天技术公益翻译组译注】

[复制链接]
发表于 2015-11-12 16:04 | 显示全部楼层 |阅读模式
  
Regin模块50251和Qwerty击键记录器之对比

非官方中文译文•安天技术公益翻译组译注

文档信息
原文名称
Comparing the Regin module 50251 and the  "Qwerty" keylogger
原文作者
Costin Raiu, Igor Soumenkov
原文发布日期
2015年1月27日
作者简介
Costin Raiu是卡巴斯基实验室全球研究和分析团队的总监。也是一位自由思想家、软件开发员、建筑师、摄影师、编辑。
  
原文发布单位
卡巴斯基实验室
原文出处
译者
安天技术公益翻译组
校对者
安天技术公益翻译组
免责声明
• 本译文译者为安天实验室工程师,本文系出自个人兴趣在业余时间所译,本文原文来自互联网的公共方式,译者力图忠于所获得之电子版本进行翻译,但受翻译水平和技术水平所限,不能完全保证译文完全与原文含义一致,同时对所获得原文是否存在臆造、或者是否与其原始版本一致未进行可靠性验证和评价。
  
• 本译文对应原文所有观点亦不受本译文中任何打字、排版、印刷或翻译错误的影响。译者与安天实验室不对译文及原文中包含或引用的信息的真实性、准确性、可靠性、或完整性提供任何明示或暗示的保证。译者与安天实验室亦对原文和译文的任何内容不承担任何责任。翻译本文的行为不代表译者和安天实验室对原文立场持有任何立场和态度。
  
• 译者与安天实验室均与原作者与原始发布者没有联系,亦未获得相关的版权授权,鉴于译者及安天实验室出于学习参考之目的翻译本文,而无出版、发售译文等任何商业利益意图,因此亦不对任何可能因此导致的版权问题承担责任。
  
• 本文为安天内部参考文献,主要用于安天实验室内部进行外语和技术学习使用,亦向中国大陆境内的网络安全领域的研究人士进行有限分享。望尊重译者的劳动和意愿,不得以任何方式修改本译文。译者和安天实验室并未授权任何人士和第三方二次分享本译文,因此第三方对本译文的全部或者部分所做的分享、传播、报道、张贴行为,及所带来的后果与译者和安天实验室无关。本译文亦不得用于任何商业目的,基于上述问题产生的法律责任,译者与安天实验室一律不予承担。



Regin模块50251和Qwerty击键记录器之对比

Costin Raiu, Igor Soumenko
2015年1月27日

2015年1月17日,《明镜周刊》发布了一篇根据爱德华·斯诺登提供的文件所编写的详细的文章。与此同时,他们提供了代号为“QWERTY”的恶意程序的副本,据说好几个政府在其CNE(计算机网络开发)活动中都用了这一程序(http://www.spiegel.de/media/media-35668.pdf)。

我们已经从《明镜周刊》获得了恶意文件的副本,当分析它们时,我们立刻联想到了Regin。我们仔细地分析了代码,得出的结论是:Qwerty恶意软件的功能与Regin 50251插件是完全一样的。

分析

Qwerty模块由3个二进制文件和相应的配置文件组成。其中的一个文件20123.sys尤其有趣。

20123.sys是Qwerty击键记录器的内核模式的一部分。事实证明,其源代码也存在于Regin的一个插件50251中。

使用二元差异法,可以很容易地发现两个文件所共享的大部分代码。

1.jpg


大部分共享代码用于访问系统键盘驱动程序。


2.jpg


大部分的Qwerty组件从同样的包(插件号码20121- 20123)中调用插件,但是有一段代码也存在于Regin平台的插件中。这段代码同时存在于Qwerty 20123模块和Regin 50251模块中,而且寻址Regin 50225插件(该插件在Regin 的虚拟文件系统中)。插件50225负责内核模式挂钩。


3.jpg

有确实的证据显示,Qwerty插件只能作为Regin平台的一部分运作,能够利用插件50225的内核挂钩功能。

两个模块使用相同软件平台的另一个证据是两个模块按照次序1导出的函数。它们包含可在Regin其他何插件中找到的启动代码,并且包括平台中注册的实际插件号,以允许进一步的模块寻址。只有当模块与Regin平台orchestrator一起使用时,这才是有道理的。


4.jpg


为何这两个模块具有不同的插件ID,这一点尚且未知。也许是因为它们由不同的攻击者使用,有各自分配的插件ID范围。

结论

通过分析《明镜周刊》发布的Qwerty恶意软件,我们发现它旨在等同于Regin平台的一部分。Qwerty击键记录器不能作为一个独立的模块,它依赖于Regin模块50225提供的内核挂钩函数。考虑到Regin平台的极端复杂性,被不知道源代码的人复制的可能性非常低,所以我们认为Qwerty恶意软件开发者和Regin开发者是同一伙人或者共同合作。

另一个重要的发现是,Regin插件存储在加密和压缩的VFS(虚拟文件系统)之内,这意味着它们并不以“本机”格式直接存在于受害者的机器上。该平台调度器在启动时会加载并执行插件。找到击键记录器的唯一方法是扫描系统内存或解码虚拟文件系统。

附录(MD5

QWERTY20123.sys:
0ed11a73694999bc45d18b4189f41ac2
Regin 50251插件:
c0de81512a08bdf2ec18cb93b43bdc2d
e9a43ea2882ac63b7bc036d954c79aa1



安天公益翻译(非官方中文译本): Regin模块50251和Qwerty击键记录器之对比[非官方中文译文•安天技术公益翻译组.pdf (889.41 KB, 下载次数: 170)
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-15 09:25

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表