Regin – Malware spionase canggih

Peneliti malware dari Symantec baru saja mengumumkan hasil analisa terhadap sebuah malware  yang canggih, yang dinamakan Regin. Malware ini sebenarnya telah terdeteksi sejak tahun 2008, tapi memiliki sistem perlindungan yang handal sehingga baru dapat dipahami saat ini cara kerjanya. Diantaranya malware ini memiliki sistem enkripsi berlapis . Malware yang sangat complex ini, diduga digunakan untuk proses intelijen diantaranya mengumpulkan data dalam jumlah besar. Kompleksitas malware ini dapat dibandingkan dengan malware Stuxnet dan Duqu

Malware ini pada klasifikasi malware termasuk jenis backdoor. Regin memiliki beberapa modul yang berbeda, serta memiliki kemampuan payload yang beragam. Symantec menemukan banyak varian malware ini pada macam industri. Symantec menduga malware ini memang bisa dimodifikasi untuk menyesuaikan pada komputer target yang berbeda.

Malware memiliki enam tahapan kerja, dimana masing-masing tahapan memiliki perlindungan enkripsi. Tahapan awal adalah proses instalasi dan konfigurasi, sementara tahapan akhir adalah pemasangan payload. Penyebaran malware ini diduga dengan memancing korban untuk mengunjungi sebuah website yang telah di-spoofing. Kemudian browser akan memasang malware pada komputer korban. Symantec menemukan juga ada korban yang terinfeksi malware ini dari exploit yang menyerang aplikasi yahoo messenger.

Penyebaran malware ini sangat beragam, paling banyak terdapat pada industri telekomunikasi sebanyak 28%. Sementara negara terbanyak yang menjadi korban malware ini adalah Rusia dan Saudi Arabia.  Malware ini memiliki kemampuan berkomunikasi dengan sebuah server kendali (Command & Control). Payload yang ditemukan beragam, mulai dari kemampuan Remote Access Trojan (RAT) seperti mengambil screenshot, menangkap aktifitas korban. Kemudian ada juga yang dapat mencuri password, monitor trafik jaringan, mengumpulkan informasi tentang proses dan penggunaan memori. Malware juga mampu mendeteksi file yang dihapus pada komputer korban, dan mampu mengembalikan file tersebut.  Selain itu ada juga payload khusus untuk Web server berbasis IIS, ada juga yang mampu mengumpulkan trafik pada base station perangkat telekomunikasi, serta mampu melakukan parsing email dari sebuah exchange database. Sampai saat ini belum diketahui siapa pembuat malware ini.

regin
arsitektur regin – from symantec

Penjelasan Symantec tentang malware ini bisa dibaca disini

http://www.symantec.com/connect/blogs/regin-top-tier-espionage-tool-enables-stealthy-surveillance

Laporan teknis Symantec tentang malware ini bisa dilihat disini

http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/regin-analysis.pdf

http://www.symantec.com/security_response/writeup.jsp?docid=2013-121221-3645-99

Silahkan tuliskan tanggapan, kritik maupun saran