Discussione Malware Regin

[lolollo2222]

Salve a tutti conoscete il malware regin, riporto la descrizione wikipedia nel caso voi ne sapeste di piu :

Operazione[modifica | modifica wikitesto]​

Regin utilizza un approccio modulare che gli consente di caricare funzionalità che si adattano esattamente all'obiettivo, consentendo uno spionaggio personalizzato. Il design lo rende particolarmente adatto per operazioni di sorveglianza di massa persistenti e a lungo termine contro obiettivi. [15][16]

Regin è furtivo e non memorizza più file sul sistema infetto; utilizza invece il proprio file system virtuale crittografato (EVFS) interamente contenuto all'interno di quello che sembra un singolo file con un nome innocuo per l'host, all'interno del quale i file sono identificati solo da un codice numerico, non da un nome. L'EVFS utilizza una variante di crittografia del cifrario RC5 usato raramente. [16] Regin comunica su Internet utilizzando ICMP/ping, comandi incorporati nei cookie HTTP e protocolli TCP e UDP personalizzati con un server di comando e controllo in grado di controllare le operazioni, caricare payload aggiuntivi, ecc.[10][12] come fa a comunicare tramite ICMP/ping utilizza pacchetti che risultano ICMP ma il cui contenuto è diverso ho visto che il model ISO/OSI è uno standard generale ma in realta posso creare pacchetti come voglio e inviarli forse fa questo ? avete dei siti che potrei consultare per vedere se trovo il suo codice ?

 

[JunkCoder]

Il malware in questione non è open source e non è mai stato leakato il sorgente. Se la tua domanda riguarda solo ICMP, puoi facilmente esfiltrare dati con una ECHO request usando le api di sistema. Per usare un protocollo non conforme a gli standard è necessario usare un socket RAW, questo significa che gli attacker avevano già i privilegi di amministratore, che sono richiesti, oppure hanno usato un exploit di privilege excalation.