Die Techniken des Trojaners Regin

Mehrere Infektionsketten und Module - Die unterschiedlichen Module erschweren die Entdeckung des Trojaners, weil seine Routinen unter den Modulen aufgeteilt sind. Diese Backdoor-Technik ist aus gezielten Angriffen bekannt.

Unpartitionierte Festplattenbereiche - Unpartionierte Bereiche von Festplatten werden in Windows standardmäßig nicht angezeigt. Der Trojaner speichert Informationen daher dort, um einer Entdeckung durch Windows-Bordmittel und Sicherheits-Software zu entgehen.

Einsatz einer 64-Bit Malware - 32-Bit- und 64-Bit-Betriebssysteme gehen unterschiedlich mit Prozessen und Diensten von Programmen um. Um eine maximale Erfolgsrate zu gewährleisten, ist also eine Entwicklung der Malware in 32- sowie 64-Bit gefragt.

Schad-Code in der Registry - Eine weitere Maßnahme, um Antivirenprogrammen zu entgehen und auch die forensische Analyse zu behindern, ist das Speichern von Schad-Code in der Registry. Die Schad-Software Poweliks etwa kann ihre codierten Dateien dort verstecken.

NTFS-erweiterte Attribute - Zeroaccess-Varianten können ihre Daten in NFTS Extended Attributes speichern. Diese erlauben Nutzer Dateien mit Metadaten zu verknüpfen. Der Trojaner nutzt diese Technik, um sich vor Sicherheits-Tools und Nutzerinspektionen zu verbergen.

Virtuelle Dateisysteme - Trojaner-Varianten von Roxnix/Cidox nutzen virtuelle Dateisysteme, um dort gestohlene Informationen zu speichern. Auch hier versucht die Malware durch diese Vorgehensweise unentdeckt zu beleiben und nicht aufzufallen.

Nutzung von Open-Source-Code - Trojaner nutzen quelloffenen harmlosen Code um ihren eigenen Schad-Code zu verschleiern, sodass eine Erkennung durch eine Analyse erschwert wird. Eine Dridex-Variante nutzte diese Technik etwa.

Einsatz von CA-Zertifikaten (Certification Authority) - Schad-Software-Binaries geben sich als signiert aus, um Vertrauen zu erwecken, obwohl ein falsches Zertifikat dafür benutzt wurde. Die Trojaner Flame und Dyre haben diese Technik beispielsweise eingesetzt.