2017년 1월 29일 (일) 15:25에 Maintenance script님의 편집

2017-01-29T15:25:38Z

새 문서

||[[북유럽 신화]]의 [[뵐숭 사가]]에서 등장하는 [[드워프]] 레긴은 [[레긴(뵐숭 사가)]]항목으로.
라이트 노벨 [[마탄의 왕과 바나디스]]의 등장인물은 [[레그나스 왕자|(1부 스포일러 방지)]] 항목으로.||

상위 항목 : [[악성코드]]

Backdoor.Regin

[[2013년]] 보안업체에 처음 탐지되었고, [[2014년]] 11월에 그 존재가 발표된 악성코드.
'''[[스턱스넷]]의 후예'''라는 평가가 어울리는, [[2014년]] 현재까지 발견된 악성코드 중 가장 정교하고 진화된 [[APT]] 도구이다.

[목차]
== 발견 ==
Backdoor.Regin(이하 “레긴”)은 미국의 보안 기업 [[시만텍]]에 의해 [[2013년]] 가을에 그 존재가 [[http://www.symantec.com/security_response/writeup.jsp?docid=2013-121221-3645-99|처음 탐지]]되었다. 한편, 러시아의 보안 기업 [[카스퍼스키]]도 [[벨기에]]의 한 통신사 네트워크에서 이 악성코드의 존재를 검출하였다. 그런데 이 악성코드는 일반적인 악성코드와는 달리 무려 5단계에 이르는 암호화된 전개 단계를 거쳐 작동하도록 설계되어 있어서, 대강의 전모를 파악하는 데만도 무려 1년에 가까운 시간이 걸렸다. 결국, 이 악성코드의 존재가 세상에 공표된 것은 [[2014년]] [[11월 23일]]의 일이었다.

== 활동 추이 ==
레긴이 처음 활동하기 시작한 것은 적어도 [[2008년]]부터의 일로 추정된다. 레긴 버전 1.0은 약 [[2008년]]부터 [[2011년]]까지 활동한 것으로 추정되고, 그 뒤 잠시 활동이 소강 상태에 들어갔다가 버전 2.0이 [[2013년]]부터 활동하기 시작한 것으로 추측된다. 레긴의 존재가 공표된 [[2014년]] 11월 현 시점에서, 이 악성코드에 대해 분석된 것은 대부분 버전 1.0의 일부분일 뿐이다.

레긴의 감염 사례는 약 10개 국가에서 두드러지게 나타나는데, 특히 [[러시아]]와 [[사우디아라비아]]가 감염 사례의 반 이상을 차지하고 있다. 공격당한 대상은 절반 정도는 개인이나 소규모 기업이고, 4분의 1 정도는 통신 기간망이었다.

== 기능 ==
레긴에는 아주 다양한 기능이 모듈 형태로 갖춰져 있는데, 이는 공격 목표에 따라 자유자재로 역량을 조정하기 위한 것이다. 가장 기본적인 기능으로는
* 피해자가 모르게 화면을 캡쳐해서 전송
* 눈치채지 못하게 마우스를 조작
* 암호를 비롯한 키보드의 입력 내용을 훔칠 수 있음[* 이 기능은 “[[https://securelist.com/blog/research/68525/|QWERTY]]”라는 [[키로거]] 플러그인을 통해 구현되는 것으로 보인다.]
* 컴퓨터에 들어있는 모든 파일을 '''삭제된 파일까지 포함하여''' 확인하고, 훔칠 수 있음
* 대상 컴퓨터의 각종 정보 수집
* 대상 컴퓨터에서 현재 실행중인 프로그램이 무엇인지 확인하고, 필요하면 강제로 종료
* 대상 컴퓨터의 네트워크 활동을 감시하고, 필요하면 그 내용을 탈취
등이 있다.

특정 목표에 특화된 기능 모듈도 발견되었다. 예를 들면
* [[IIS]] 웹 서버에서 정보 탈취
* [[GSM]] 기지국의 통신 내역 감시
등이 발견되었다.

이러한 기능들은 목표 컴퓨터에 침투한 레긴이 C&C 서버로부터 지령과 함께 내려받아 작동시키도록 되어 있다. 그때그때 필요한 기능 모듈만 받아서 사용하게끔 되어 있기 때문에, 이것 말고도 어떤 기능이 더 있는지 밝혀내기가 무척 어렵다.

=== 은닉 기능 ===
레긴의 기능 중 가장 공들여 만들어진 것으로 보이는 것은 바로 자체 은닉([[스텔스|Stealth]]) 기능이다. 레긴은 침투 사실 자체를 감추기 위해 5단계에 이르는 암호화된 전개 과정을 거쳐야만 비로소 작동하도록 설계되어 있으며, 레긴이 사용하는 암호화 기법 중에는 일반적으로 흔히 사용되지 않는 것이 포함되어 있다. 또한 고도의 [[루트킷]]이나 분석 방지(anti-forensic) 기법이 적용되어 있으며, 각종 기능 모듈과 훔쳐낸 모든 정보는 별도의 자체적인 암호화 가상 파일 시스템(EVFS)에 저장[* 이것은 일반적인 백신 검사 방법으로는 레긴의 기능 모듈을 탐지하는 것이 불가능하다는 뜻이다.]되도록 만들어져 있다. 그리고 C&C서버로부터 지령을 받거나 훔쳐낸 정보를 전송하는 데에도 각종 프로토콜과 방법을 섞어서 사용하며, 레긴에 감염된 컴퓨터끼리 [[P2P]]로 정보를 주고받기도 한다. 이러한 모든 기능과 특성들은 레긴의 존재 자체와 정보 유출을 탐지하는 것을 극도로 어렵게 만든다.

또한, 레긴 악성코드의 감염 경로 또한 현 시점에서는 오리무중이다. 다시 말해서, 레긴을 누가 어떤 방식으로 목표물에 침투시켰는지 현 시점에서는 전혀 알려진 바가 없다. 다만 고도의 은닉 기능을 포함한 복잡한 구조와 높은 기술 수준, 그리고 특정 목표에 교묘히 침투하여 정보를 수집하는 데 특화된 기능을 고려하면 이 악성코드의 배후에는 특정 국가의 정부 및 정보기관의 첩보 작전이 개입되어 있을 가능성이 높다. 거론되고 있는 유력한 곳은 영국 [[GCHQ]]가 있다.

이후 새로운 분석 내용이 나오면 [[추가바람]].

== 참고 ==
* [[APT]] 공격
* [[http://www.symantec.com/connect/blogs-364|레긴의 존재를 공표한 시만텍의 블로그 글]]
* [[http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/regin-analysis.pdf|레긴의 1차 분석 결과를 담은 시만텍의 보안 백서 (영문)]]
* [[http://www.boannews.com/media/view.asp?idx=44272|보안 전문 매체 보안뉴스의 관련 기사 링크 소개]]

[[분류:악성코드]]

레긴 - 편집 역사

2017년 1월 29일 (일) 15:25에 Maintenance script님의 편집