360天眼实验室的追日团队日前披露称,一个名为“洋葱狗”(OnionDog)的黑客组织长期对亚洲国家的能源、交通等基础行业进行网络渗透和情报窃取,根据大数据关联分析,“洋葱狗”的首次活动可追溯到2013年10月,之后两年仅在7月底至9月初之间活动,木马自身设定的生命周期平均只有15天,具有鲜明的组织性和目的性。
“洋葱狗”恶意程序利用了朝鲜语系国家流行办公软件Hangul的漏洞传播,并通过USB蠕虫摆渡攻击隔离网目标。此外,“洋葱狗”还使用了暗网网桥(Onion City)通信,借此无需洋葱浏览器就可直接访问暗网中的域名,使其真实身份隐蔽在完全匿名的Tor网络里。
“洋葱狗”APT攻击瞄准基础行业
“洋葱狗”的攻击目标精准锁定在朝鲜语系国家的基础行业。2015年,该组织主要攻击了港口、VTS(船舶交通服务)、地铁、公交等交通机构;而在此前2014年的一轮攻击中,“洋葱狗”则侵袭了多家电力公司和水资源公社等能源企业。
图1、“洋葱狗”攻击流程
截至目前,360威胁情报中心共发现“洋葱狗”相关的96组恶意代码、14个C&C域名和IP。其首次出现在2013年10月,之后都是在夏天集中出现,而且木马设定了自身的存活时间,从木马被编译出来到终止活动最短只有3天,最长也不过29天,平均生命周期为15天,这也使其相比长期活跃的黑客攻击更难以被受害企业察觉和重视。
图2、“洋葱狗”恶意代码的生命周期
“洋葱狗”的传播渠道以鱼叉式邮件定向发给攻击目标为主,早期版本的木马直接用图标和文件名伪装为HWP文档(Hangul办公软件的文档格式),此后又出现了利用Hangul漏洞的升级版本,就是在真正的HWP文档嵌入恶意代码,打开文档触发漏洞即下载激活木马。
由于能源等重要基础行业普遍采用内网隔离措施,“洋葱狗”则运用U盘摆渡的方式打破了物理隔离的虚假安全感。在震网病毒攻破伊朗核电站的APT攻击经典案例中,病毒利用工作人员的U盘打入隔离网内,“洋葱狗”也借鉴使用了这个通道,生成USB蠕虫向攻击对象的内网进行渗透。
“强迫症”式精密化组织
在“洋葱狗”的恶意代码活动中,有着近乎“强迫症”的规范:
首先,恶意代码从被创建的PDB(符号文件)路径上,就有着严格的命名规则,例如USB蠕虫的路径是APT-USB,钓鱼邮件恶意文档的路径是APT-WebServer;
当“洋葱狗”的木马成功释放后,它会请求C&C(木马服务器),下载其它恶意程序并保存到%temp%目录,再统一以“XXX_YYY.jpg”形态作为文件名。这些名称都有着特定涵义,一般是指向攻击目标。
种种迹象表明,“洋葱狗”对出击时间、攻击对象、漏洞挖掘和利用、恶意代码等整套流程都有着严密的组织和部署,同时它还非常重视隐藏自己的行迹。
2014年,“洋葱狗”使用了韩国境内的多个固定IP作为木马服务器地址,当然这并不意味着攻击者位于韩国,这些IP更可能只是傀儡机和跳板。到了2015年,“洋葱狗”的网络通信全面升级为暗网网桥,这也是目前APT黑客攻击中比较高端和隐蔽的网络通信方式。
暗网网桥,是指暗网搜索引擎利用Tor2web代理技术,可以深度访问匿名的Tor网络,而无需再专门使用洋葱浏览器。“洋葱狗”正是利用暗网网桥将控制木马的服务器藏匿在Tor网络里。
近年来,针对基础行业设施和大型企业的黑客APT攻击活动频繁曝出,其中有的会攻击工控系统,如Stuxnet(震网)、Black Energy(黑暗力量)等,直接产生巨大的破坏力;还有的则是以情报窃取为主要目的,如此前由卡巴斯基、AlienVault实验室和Novetta等协作披露的Lazarus黑客组织,以及360追日团队最新曝光的OnionDog(洋葱狗),这类秘密活动的网络犯罪所造成的损失同样严重。
根据“洋葱狗”的活动规律,今年夏天很可能又是其新一轮攻势的开始,相关威胁情报及技术分析报告将由360威胁情报中心(https://ti.360.com)持续发布。
360追日团队(Helios Team)是360公司高级威胁研究团队,从事APT攻击发现与追踪、互联网安全事件应急响应、黑客产业链挖掘和研究等工作。团队成立于2014年12月,在短短的一年时间内整合360公司海量安全数据,实现了威胁情报快速关联溯源,首次发现并追踪数十个APT组织及黑客产业链,扩大了黑客产业研究视野,填补了国内APT研究的空白,并为大量企业和政府机构提供安全威胁评估及解决方案输出。
本文由 360安全播报 原创发布,如需转载请注明来源及本文地址。本文地址:http://bobao.360.cn/learning/detail/2783.html