三年來攻擊韓國能源及交通產業的OnionDog 「洋蔥狗」行動,原來是網路安全演習

疑似由北韓人士主導的攻擊事件,成為熱門資安研究主題。例如,據部分報導指出,惡名昭彰的 2014 年索尼影業駭客攻擊事件是北韓的攻擊者所為。許多人也對 Lazarus 很感興趣,據稱 Lazarus 是與北韓有關的集團組織,針對一些全球性銀行展開攻擊,企圖竊取龐大的金額。

在本篇文章中,我們將探討幾場較小規模的攻擊事件。據稱這幾場攻擊事件的行動組織連續攻擊韓國能源及交通行業的重要目標,為時三年以上,這些攻擊被稱為 OnionDog。我們進行了更為徹底的查證,並獲得了有趣的結論:OnionDog 並非鎖定目標的攻擊,而是一場資安演習。

為時三年以上的,並非鎖定目標的攻擊,而是網路安全演習

OnionDog 首次於 2013 年出現。在 2016 年,有關 OnionDog 的報導指出,它們可能是 2013 年韓國能源及運輸公司攻擊事件的幕後黑手。我們已知約 200 件 OnionDog 獨特樣本,乍看之下,它看來像是規模小,但仍具有影響力的攻擊組織。

Qihoo 360 的 Helios Team 提出一份報告,非常詳細地分析了 OnionDog。這份報告包含 OnionDog 的入侵指標 (IoC),例如惡意檔案的雜湊 (hash),以及八個特定的命令及控制 (C&C) IP 位址,而這些 IP 位址確實是受到惡意程式感染電腦的回呼位址。攻擊者的目的看似並無惡意,只是為了記錄哪些目標成為這場網路安全演習的受害者。趨勢科技查找了這八個 IP 位址的網域解析歷程,獲得資訊如下:

IP 網域 活動期間
221[.]149[.]223[.]209 korea[.]kr[.]ncsc[.]go[.]kr 2011 年 6 月 — 2011 年 8 月
112[.]169[.]154[.]65 cyber[.]ncsc[.]go[.]kr 2011 年 6 月 — 2011 年 8 月
221[.]149[.]32[.]213 drill12[.]ncsc[.]go[.]kr 2012 年 7 月 — 2012 年 8 月
220[.]85[.]160[.]3 dril113[.]ncsc[.]go[.]kr 2013 年 8 月
222[.]107[.]13[.]113 drill12[.]ncsc[.]go[.]kr 2013 年 8 月

1:寫死的 OnionDog C&C IP 位址被動 DNS 歷程資料

IP1 網域 IP1 IP2 網域 IP2
218[.]145[.]131[.]130 220[.]85[.]160[.]3 dril113[.]ncsc[.]go[.]kr
218[.]153[.]172[.]53 221[.]149[.]223[.]209 korea[.]kr[.]ncsc[.]go[.]kr

22014 7 月及 8 月,兩對擁有相同 HTTP 回應的 OnionDog C&C IP 位址。在 Rapid7 進行的網際網路全域 HTTP 掃描歷程中,這些回應是獨一無二的。

ncsc.go.kr 網域隸屬於南韓國家資安中心 (National Cyber Security Center, NCSC),表示表 1 中的五個 IP 位址隸屬於南韓 NCSC。這份報告中提及的另外兩個 C&C IP 位址,依據其對於基本 HTTP 要求的回應,皆具有幾乎獨一無二的數位指紋。這點讓我們相信,2014 年的事件也是由南韓 NCSC 所主導的。因此,報告列出的八個 IP 中,有七個 IP 在過去的某個時間點,皆可明確連結回 NCSC。光是這些資料就讓我們認為,OnionDog 樣本與網路安全演習有關。

網路上約 200 個與 OnionDog 有關的檔案,表示這項網路安全演習工具並未保存在受控環境中。這可能會造成一些問題,畢竟沒有人希望這些方法及工具遭到公開,特別是它們專供演習使用。

以下是 OnionDog 的一些樣本:

SHA256 編譯時間 寫死 C&C
dbb0878701b8512daa057c93d9653f954dde24a25306dcee014adf7ffff0bdb4 13/08/13 07:47 dril113[.]ncsc[.]go[.]kr
f8c71f34a6cfdc9e3c4a0061d5e395ffe11d9d9e77abe1a5d4b6f335d08da130 13/08/13 07:47 dril113[.]ncsc[.]go[.]kr
7564990506f59660c1a434ce1526b2aea35a51f97b8a490353eece18ec10b910 10/10/13 11:35 221[.]149[.]223[.]209
8b91cfd40529b5667bbdab970d8dba05fca0952fffba8ccbb1ad9549d204ba85 10/10/13 11:58 221[.]149[.]223[.]209
e20d0a8e1dec96ed20bd476323409f8f5c09531777207cfeda6b7f3573426104 13/07/14 11:43 dril113[.]ncsc[.]go[.]kr
7461e8b7416bf8878d20a696a27ccf378c93afc6c8f120840c3738b9508839d2 15/07/14 04:43 221[.]149[.]223[.]209
04e87e473d34974874dd0a5289433c95ef27a3405ba9ad933800b1b855e6e21a 15/07/14 04:45 221[.]149[.]223[.]209
caf4b03118e5c5580c67b094d58389ade565d5ae82c392bb61fc0166063e845a 12/08/14 06:52 drill14[.]kr[.]ncsc[.]go[.]kr
46fb5bcea417d7ff38edff7e39982aa9f89f890a97d8a0218b6c0f96a5e9bad2 12/08/14 06:52 drill14[.]kr[.]ncsc[.]go[.]kr
1ffa34f88855991bdc9a153e01c9e18074ba52a773f4da390c4b798df6e6dc4e 12/08/14 06:52 drill14[.]kr[.]ncsc[.]go[.]kr
fa5799c25b5ea2ecb24ee982a202e68aad77db7e6b18f37151fa744010f69979 12/08/14 06:52 drill14[.]kr[.]ncsc[.]go[.]kr
1e926d83c25320bcc1f9497898deac05dff096b22789f1ac1f63c46d2c1c16a7 12/08/14 06:52 drill14[.]kr[.]ncsc[.]go[.]kr
65d226469d6bdb1e7056864fe6d3866c8c72613b6b61a59547ef9c36eda177dd 10/07/15 11:51  .onion.city domains
0ea456fd1274a784924d27beddc1a5caa4aa2f8c5abdf86eb40637fe42b43a7f 10/07/15 11:51  .onion.city domains
b35b7a1b437d5998b77e10fdbf166862381358250cf2d1b34b61cf682157ff19 26/07/16 01:27  .onion.city domains
1e926d83c25320bcc1f9497898deac05dff096b22789f1ac1f63c46d2c1c16a7 27/07/16 04:46  .onion.city domains

3:典型 OnionDog 樣本的雜湊及 C&C 網域

2013 年的最舊樣本並未隱藏 C&C 網域的所有權。2015 年起,網路安全演習開始使用 .onion.city 網域,這表示此惡意程式的實際回呼位址位於 Tor 隱藏伺服器上。這些樣本的編譯日期大多數在 2013、2014、2015、2016 年的夏季及秋季。

分析 OnionDog 樣本

在這些年分中,有不同的 OnionDog 樣本組,但它們皆彼此相關。最新的樣本使用 .onion.city C&C 網域,深入受影響的系統。它們會安裝 Windows 服務,將基本資訊傳送至 Tor 隱藏 C&C 網域,也可以從這隱藏網域下載第二階段酬載 (second-stage payload)。

具有 SHA256 雜湊「65d226469d6bdb1e7056864fe6d3866c8c72613b6b61a59547ef9c36eda177dd」的檔案是 2015 年的 OnionDog 檔案,連往 .onion.city C&C 網域。執行該檔案時,將會開啟 HWP 文件,如下所示:

Figure 1

1OnionDog 樣本顯示的誘餌文件。

誘餌 HWP 文件標題頁面大致可翻譯為「2015 年暑假期間檢查公共紀律及行為守則計畫」。這暗示此惡意軟體是 2015 年夏季網路安全演習的一部分。

在顯示 HWP 文件之後,它會解壓縮並執行其位於暫存資料夾中的第一個資源,名為 101 (SHA256:6dd79b5b9778dc0b0abefa26193321444236a1525d03227f150e6e968999fea5),然後解壓縮另外兩個資源:103 及 111。如果是 Vista (dwMajorVersion < 6) 以前的 Windows 版本,它會將其程式碼注入 explorer.exe 程序。如果是較新的 Windows 版本,它會將資源解壓縮至暫存資料夾,然後在執行之後刪除這些資源。

Figure 1

2:在主散播程式 (dropper) .rsrc 區段中的三個二進位檔

對於真正的惡意程式而言,列出錯誤訊息並不尋常,而此主散播程式包含偵錯訊息,在未能將程式碼注入 explorer.exe 程序時發揮作用:

Figure 1

3:偵錯訊息

101 (SHA256: 6dd79b5b9778dc0b0abefa26193321444236a1525d03227f150e6e968999fea5) 是動態連結程式庫 (DLL),可繞過使用者帳戶控制 (UAC),執行在暫存資料夾中建立的另外兩個二進位檔。

103 (SHA256: 999c1d4c070e6817c3d447cf9b9869b63e82c21c6e01c6ea740fbed38b730e6e) 會安裝名為「Microsoft Display Agent」或「Windows 10 Upgrader」的 Windows 服務,也會利用批次檔指令碼刪除所有留下的軌跡。

此 Windows 服務 (SHA256: 19e3aa92bc16915d9f3ff17731caf43519169fddda4910ad5becb71ef87a29d5) 於特定日期 (2015 年 7 月 13 日) 執行,並從 C&C 伺服器下載另一個可執行檔。它也會留下並執行另一個可執行檔 (SHA256: fd03f3f65979ec7b8b6055f92f023b08f57c3095557d1f00d88f01f4d4cb46b7),此檔是清除程式,用於解除安裝服務並移除該程式所建立的所有檔案,無論當前的日期為何。雖然 OnionDog 惡意程式並未對系統真正造成傷害,但它所利用的技巧來自真正的惡意程式,至於網路安全演習為何需要用到該類技巧,原因依舊不明。

以下螢幕截圖中為 2013 年樣本,其寫死的演習 C&C 伺服器 (反白部分) 明確顯示它們是演習的一部分。這些樣本含有訊息方塊 (MessageBox),會在特定時間範圍內執行時顯示。

Figure 1

4:較舊的 OnionDog 樣本,會在樣本於特定時間範圍內執行時,顯示快顯視窗

Figure 1

5:與 OnionDog 相關的快顯視窗,顯示目標是 Ulchi 網路安全演習的受害者

快顯視窗大致可翻譯為:「[2013 年 Ulchi 演習網路安全威脅反應訓練] 請讓您的管理員知道您已感染惡意程式碼。」Ulchi 疑似是指乙支自由衛士 (Ulchi Freedom Guardian) 演習,為 1976 年開始的美韓聯合軍事演習,於每年八月至九月舉行。以下列出了 2010 至 2016 年該演習舉行的具體日期。

 

開始日期 結束日期
2016 年 8 月 22 日 2016 年 9 月 2 日
2015 年 8 月 17 日 2015 年 8 月 28 日
2014 年 8 月 18 日 2014 年 8 月 29 日
2013 年 8 月 19 日 2013 年 8 月 30 日
2012 年 8 月 20 日 2012 年 8 月 31 日
2011 年 8 月 16 日 2011 年 8 月 26 日
2010 年 8 月 16 日 2010 年 8 月 26 日

  4:乙支自由衛士 (Ulchi Freedom Guardian) 演習日期

這些日期與 OnionDog 樣本的活動日期相呼應。根據美國陸軍網站所述,乙支自由衛士演習協助防衛通訊網路。這表示在八月至九月間,可能有某些警報、訊息及其他指標是演習的一部分,為韓國國內的重要目標做好準備,防範真正的網路攻擊。以軍語而言,此網路安全演習是一場實彈演習,以惡意程式做軍備,深入做為練習區或戰場的電腦系統,並進一步下載更多惡意程式。

在演習中使用真正惡意程式的風險

根據趨勢科技收集到的資料,稱為 OnionDog 的惡意程式樣本皆為每年網路安全演習的一部分,這些惡意程式具有保護措施,在演習以外時間受到限制,無法執行任何動作。雖然此類惡意程式確實沒有任何惡意行為,但有些較新型的樣本似乎對系統進行侵入性滲透測試,且使用許多技巧。在安全演習期間使用真實的惡意程式有其風險。

我們在網路上發現了 200 種不同的 OnionDog 樣本,這表示演習中使用的具體工具及方法已外流公開,惡意攻擊者也可以對其進行研究。這些攻擊者可以從中挑選部分程式行為並加以模仿,恐會導致資安事件因應團隊以為惡意程式只是演習的一部分,因而疏於反應。

使用作用中的惡意程式或甚至模擬的惡意程式,所帶來的危險及風險在於遏制這些惡意程式的能力。例如,在小規模演習中,如果當天負責惡意程式的人員因為任何緣故整日外出,在狀況失控時,就沒有任何方法可以阻止。滲透測試工具,例如 Threatcare,以 Metasploit 的 vSploit 為基礎,可測試安全事件因應團隊的能力,使用已知威脅的模擬通訊測試團隊作業效益。

這樣的測試不只限於「乙支自由衛士」的大規模多國演習,全球企業也都會進行此類的資安演習,以在發生實際攻擊前做好準備。

責任歸屬很困難

雖然僅有少數媒體關注 OnionDog,但它還是上了媒體版面。即使只有少數,但媒體揭露錯誤歸因的網路攻擊,可能導致錯誤的結論,升高緊張局勢。雖然查證網路攻擊主使國家的需求十分引人注意,但上述理由是趨勢科技未進行詳細究責的原因。在此案例中,看起來像是針對特定業別進行的鎖定攻擊,其實是一場演習,以測試全國及特定業別目標的反應。

SHA256 列表請參見此附錄

⊙原文來源: OnionDog is not a Targeted Attack—It’s a Cyber Drill