360天眼實(shí)驗(yàn)室的追日?qǐng)F(tuán)隊(duì)日前披露稱,一個(gè)名為“洋蔥狗”(OnionDog)的黑客組織長期對(duì)亞洲國家的能源、交通等基礎(chǔ)行業(yè)進(jìn)行網(wǎng)絡(luò)滲透和情報(bào)竊取,根據(jù)大數(shù)據(jù)關(guān)聯(lián)分析,“洋蔥狗”的首次活動(dòng)可追溯到2013年10月,之后兩年僅在7月底至9月初之間活動(dòng),木馬自身設(shè)定的生命周期平均只有15天,具有鮮明的組織性和目的性。
“洋蔥狗”惡意程序利用了朝鮮語系國家流行辦公軟件Hangul的漏洞傳播,并通過USB蠕蟲擺渡攻擊隔離網(wǎng)目標(biāo)。此外,“洋蔥狗”還使用了暗網(wǎng)網(wǎng)橋(Onion City)通信,借此無需洋蔥瀏覽器就可直接訪問暗網(wǎng)中的域名,使其真實(shí)身份隱蔽在完全匿名的Tor網(wǎng)絡(luò)里。
“洋蔥狗”APT攻擊瞄準(zhǔn)基礎(chǔ)行業(yè)
“洋蔥狗”的攻擊目標(biāo)精準(zhǔn)鎖定在朝鮮語系國家的基礎(chǔ)行業(yè)。2015年,該組織主要攻擊了港口、VTS(船舶交通服務(wù))、地鐵、公交等交通機(jī)構(gòu);而在此前2014年的一輪攻擊中,“洋蔥狗”則侵襲了多家電力公司和水資源公社等能源企業(yè)。
截至目前,360威脅情報(bào)中心共發(fā)現(xiàn)“洋蔥狗”相關(guān)的96組惡意代碼、14個(gè)C&C域名和IP。其首次出現(xiàn)在2013年10月,之后都是在夏天集中出現(xiàn),而且木馬設(shè)定了自身的存活時(shí)間,從木馬被編譯出來到終止活動(dòng)最短只有3天,最長也不過29天,平均生命周期為15天,這也使其相比長期活躍的黑客攻擊更難以被受害企業(yè)察覺和重視。
洋蔥狗”的傳播渠道以魚叉式郵件定向發(fā)給攻擊目標(biāo)為主,早期版本的木馬直接用圖標(biāo)和文件名偽裝為HWP文檔(Hangul辦公軟件的文檔格式),此后又出現(xiàn)了利用Hangul漏洞的升級(jí)版本,就是在真正的HWP文檔嵌入惡意代碼,打開文檔觸發(fā)漏洞即下載激活木馬。
由于能源等重要基礎(chǔ)行業(yè)普遍采用內(nèi)網(wǎng)隔離措施,“洋蔥狗”則運(yùn)用U盤擺渡的方式打破了物理隔離的虛假安全感。在震網(wǎng)病毒攻破伊朗核電站的APT攻擊經(jīng)典案例中,病毒利用工作人員的U盤打入隔離網(wǎng)內(nèi),“洋蔥狗”也借鑒使用了這個(gè)通道,生成USB蠕蟲向攻擊對(duì)象的內(nèi)網(wǎng)進(jìn)行滲透。
“強(qiáng)迫癥”式精密化組織
在“洋蔥狗”的惡意代碼活動(dòng)中,有著近乎“強(qiáng)迫癥”的規(guī)范:
首先,惡意代碼從被創(chuàng)建的PDB(符號(hào)文件)路徑上,就有著嚴(yán)格的命名規(guī)則,例如USB蠕蟲的路徑是APT-USB,釣魚郵件惡意文檔的路徑是APT-WebServer;
當(dāng)“洋蔥狗”的木馬成功釋放后,它會(huì)請(qǐng)求C&C(木馬服務(wù)器),下載其它惡意程序并保存到%temp%目錄,再統(tǒng)一以“XXX_YYY.jpg”形態(tài)作為文件名。這些名稱都有著特定涵義,一般是指向攻擊目標(biāo)。
種種跡象表明,“洋蔥狗”對(duì)出擊時(shí)間、攻擊對(duì)象、漏洞挖掘和利用、惡意代碼等整套流程都有著嚴(yán)密的組織和部署,同時(shí)它還非常重視隱藏自己的行跡。
2014年,“洋蔥狗”使用了韓國境內(nèi)的多個(gè)固定IP作為木馬服務(wù)器地址,當(dāng)然這并不意味著攻擊者位于韓國,這些IP更可能只是傀儡機(jī)和跳板。到了2015年,“洋蔥狗”的網(wǎng)絡(luò)通信全面升級(jí)為暗網(wǎng)網(wǎng)橋,這也是目前APT黑客攻擊中比較高端和隱蔽的網(wǎng)絡(luò)通信方式。
暗網(wǎng)網(wǎng)橋,是指暗網(wǎng)搜索引擎利用Tor2web代理技術(shù),可以深度訪問匿名的Tor網(wǎng)絡(luò),而無需再專門使用洋蔥瀏覽器。“洋蔥狗”正是利用暗網(wǎng)網(wǎng)橋?qū)⒖刂颇抉R的服務(wù)器藏匿在Tor網(wǎng)絡(luò)里。
近年來,針對(duì)基礎(chǔ)行業(yè)設(shè)施和大型企業(yè)的黑客APT攻擊活動(dòng)頻繁曝出,其中有的會(huì)攻擊工控系統(tǒng),如Stuxnet(震網(wǎng))、Black Energy(黑暗力量)等,直接產(chǎn)生巨大的破壞力;還有的則是以情報(bào)竊取為主要目的,如此前由卡巴斯基、AlienVault實(shí)驗(yàn)室和Novetta等協(xié)作披露的Lazarus黑客組織,以及360追日?qǐng)F(tuán)隊(duì)最新曝光的OnionDog(洋蔥狗),這類秘密活動(dòng)的網(wǎng)絡(luò)犯罪所造成的損失同樣嚴(yán)重。
根據(jù)“洋蔥狗”的活動(dòng)規(guī)律,今年夏天很可能又是其新一輪攻勢的開始。