“洋蔥狗”(OnionDog)是一個黑客組織,長期對亞洲國家的能源、交通等基礎行業進行網路滲透和情報竊取,根據大數據關聯分析,“洋蔥狗”的首次活動可追溯到2013年10月,之後兩年僅在7月底至9月初之間活動,木馬自身設定的生命周期平均只有15天,具有鮮明的組織性和目的性。 “洋蔥狗”惡意程式利用了朝鮮語系國家流行辦公軟體Hangul的漏洞傳播,並通過USB蠕蟲擺渡攻擊隔離網目標。此外,“洋蔥狗”還使用了暗網網橋(Onion City)通信,藉此無需洋蔥瀏覽器就可直接訪問暗網中的域名,使其真實身份隱蔽在完全匿名的Tor網路里。
基本介紹
- 中文名:洋蔥狗
- 外文名:OnionDog
- 所屬行業:網際網路
攻擊目標,攻擊流程,生命周期,代碼規範,
攻擊目標
“洋蔥狗”APT攻擊瞄準基礎行業
“洋蔥狗”的攻擊目標精準鎖定在朝鮮語系國家的基礎行業。2015年,該組織主要攻擊了港口、VTS(船舶交通服務)、捷運、公交等交通機構;而在此前2014年的一輪攻擊中,“洋蔥狗”則侵襲了多家電力公司和水資源公社等能源企業。
“洋蔥狗”的攻擊目標精準鎖定在朝鮮語系國家的基礎行業。2015年,該組織主要攻擊了港口、VTS(船舶交通服務)、捷運、公交等交通機構;而在此前2014年的一輪攻擊中,“洋蔥狗”則侵襲了多家電力公司和水資源公社等能源企業。
攻擊流程
“洋蔥狗”攻擊流程
截至目前,共發現“洋蔥狗”相關的96組惡意代碼、14個C&C域名和IP。其首次出現在2013年10月,之後都是在夏天集中出現,而且木馬設定了自身的存活時間,從木馬被編譯出來到終止活動最短只有3天,最長也不過29天,平均生命周期為15天,這也使其相比長期活躍的黑客攻擊更難以被受害企業察覺和重視。
生命周期
“洋蔥狗”惡意代碼的生命周期
“洋蔥狗”的傳播渠道以魚叉式郵件定向發給攻擊目標為主,早期版本的木馬直接用圖示和檔案名稱偽裝為HWP文檔(Hangul辦公軟體的文檔格式),此後又出現了利用Hangul漏洞的升級版本,就是在真正的HWP文檔嵌入惡意代碼,打開文檔觸發漏洞即下載激活木馬。
由於能源等重要基礎行業普遍採用區域網路隔離措施,“洋蔥狗”則運用隨身碟擺渡的方式打破了物理隔離的虛假安全感。在震網病毒攻破伊朗核電站的APT攻擊經典案例中,病毒利用工作人員的隨身碟打入隔離網內,“洋蔥狗”也借鑑使用了這個通道,生成USB蠕蟲向攻擊對象的區域網路進行滲透。
由於能源等重要基礎行業普遍採用區域網路隔離措施,“洋蔥狗”則運用隨身碟擺渡的方式打破了物理隔離的虛假安全感。在震網病毒攻破伊朗核電站的APT攻擊經典案例中,病毒利用工作人員的隨身碟打入隔離網內,“洋蔥狗”也借鑑使用了這個通道,生成USB蠕蟲向攻擊對象的區域網路進行滲透。
代碼規範
“強迫症”式精密化組織
在“洋蔥狗”的惡意代碼活動中,有著近乎“強迫症”的規範:
首先,惡意代碼從被創建的PDB(符號檔案)路徑上,就有著嚴格的命名規則,例如USB蠕蟲的路徑是APT-USB,釣魚郵件惡意文檔的路徑是APT-WebServer;
當“洋蔥狗”的木馬成功釋放後,它會請求C&C(木馬伺服器),下載其它惡意程式並保存到%temp%目錄,再統一以“XXX_YYY.jpg”形態作為檔案名稱。這些名稱都有著特定涵義,一般是指向攻擊目標。
種種跡象表明,“洋蔥狗”對出擊時間、攻擊對象、漏洞挖掘和利用、惡意代碼等整套流程都有著嚴密的組織和部署,同時它還非常重視隱藏自己的行跡。
2014年,“洋蔥狗”使用了韓國境內的多個固定IP作為木馬伺服器地址,當然這並不意味著攻擊者位於韓國,這些IP更可能只是傀儡機和跳板。到了2015年,“洋蔥狗”的網路通信全面升級為暗網網橋,這也是目前APT黑客攻擊中比較高端和隱蔽的網路通信方式。
暗網網橋,是指暗網搜尋引擎利用Tor2web代理技術,可以深度訪問匿名的Tor網路,而無需再專門使用洋蔥瀏覽器。“洋蔥狗”正是利用暗網網橋將控制木馬的伺服器藏匿在Tor網路里。
近年來,針對基礎行業設施和大型企業的黑客APT攻擊活動頻繁曝出,其中有的會攻擊工控系統,如Stuxnet(震網)、Black Energy(黑暗力量)等,直接產生巨大的破壞力;還有的則是以情報竊取為主要目的,如此前由卡巴斯基、AlienVault實驗室和Novetta等協作披露的Lazarus黑客組織,以及最新曝光的OnionDog(洋蔥狗),這類秘密活動的網路犯罪所造成的損失同樣嚴重。
在“洋蔥狗”的惡意代碼活動中,有著近乎“強迫症”的規範:
首先,惡意代碼從被創建的PDB(符號檔案)路徑上,就有著嚴格的命名規則,例如USB蠕蟲的路徑是APT-USB,釣魚郵件惡意文檔的路徑是APT-WebServer;
當“洋蔥狗”的木馬成功釋放後,它會請求C&C(木馬伺服器),下載其它惡意程式並保存到%temp%目錄,再統一以“XXX_YYY.jpg”形態作為檔案名稱。這些名稱都有著特定涵義,一般是指向攻擊目標。
種種跡象表明,“洋蔥狗”對出擊時間、攻擊對象、漏洞挖掘和利用、惡意代碼等整套流程都有著嚴密的組織和部署,同時它還非常重視隱藏自己的行跡。
2014年,“洋蔥狗”使用了韓國境內的多個固定IP作為木馬伺服器地址,當然這並不意味著攻擊者位於韓國,這些IP更可能只是傀儡機和跳板。到了2015年,“洋蔥狗”的網路通信全面升級為暗網網橋,這也是目前APT黑客攻擊中比較高端和隱蔽的網路通信方式。
暗網網橋,是指暗網搜尋引擎利用Tor2web代理技術,可以深度訪問匿名的Tor網路,而無需再專門使用洋蔥瀏覽器。“洋蔥狗”正是利用暗網網橋將控制木馬的伺服器藏匿在Tor網路里。
近年來,針對基礎行業設施和大型企業的黑客APT攻擊活動頻繁曝出,其中有的會攻擊工控系統,如Stuxnet(震網)、Black Energy(黑暗力量)等,直接產生巨大的破壞力;還有的則是以情報竊取為主要目的,如此前由卡巴斯基、AlienVault實驗室和Novetta等協作披露的Lazarus黑客組織,以及最新曝光的OnionDog(洋蔥狗),這類秘密活動的網路犯罪所造成的損失同樣嚴重。
