加油吧，勒索軟體！以情資關聯推敲中油勒索軟體事件脈絡（上）

‍

2020 年對全球所有人來說，註定都是個不太平靜的年份。自年初 COVID-19 疫情爆發以來，全球性的生活型態與工作型態改變，也對各國產業結構造成了影響，資安產業當然無可避免。先前，我們曾發表過一篇部落格文章，討論在疫情驅使下所掀起的遠端工作潮，以及隨之引爆的視訊軟體 Zoom 安全疑雲。

深入了解 Zoom 資安爭議事件！使用者該如何更安全地使用視訊通話軟體？

我們也觀察到，從年初疫情開始蔓延後，勒索軟體等駭客攻擊事件愈趨嚴重。今年美國 BlackHat 大會上，奧義研究團隊所發表的一篇關於臺灣竹科半導體廠遭攻擊的研究，更是引發海內外大量討論與矚目。（註：相關文章與發表內的資料皆已去識別化，敬請勿任意臆測或散布錯誤消息。）

侵襲臺灣高科技產業的外國 APT：Operation Skeleton Key 攻擊手段分析

這次的文章，我們將以奧義智慧科技共同創辦人於 2020 臺灣資安大會發表的「加油吧！勒索軟體」演講內容為主，分享奧義針對今年五月初中油等數家臺灣企業接連遭勒索病毒入侵的事件，利用調查局、中華電信等單位公開的資訊，以及奧義調查疑似受到相同攻擊的企業取得的樣本，分析後所合理推論出的事件過程及手法。

請注意，奧義智慧科技並未直接參與中油事件的調查，下述素材皆為各單位公布至網路的公開資料，以及來自於奧義其他合作單位的調查樣本，中油並不是我們的客戶。

史上第一次全臺加油站大當機？！

2020 年 5 月 4 日的正中午，台灣中油公司突然驚傳遭到勒索病毒攻擊，導致相關系統一度停擺、甚至緊急斷網造成全臺加油站運作的影響，引發社會大眾一片譁然。隨後，於 5 月 15 日，法務部調查局針對此事件召開記者會，證實已查出攻擊來源來自海外，並公開部分的調查相關內容。

高科技及半導體產業對臺灣經濟影響甚鉅，而說到維持穩定民生，則以油、水、電為最主要依靠的資源，作為國家關鍵基礎建設，加油站被國外駭客輕易地發動惡意攻擊，無疑是對於國家安全防護的重重一擊，容易造成社會動盪不安，必須要高度重視這次的危機。

而自 2017 年 WannaCry 全球感染大爆發，使大眾開始認識和正視所謂的「勒索軟體」以來，勒索軟體的攻擊行徑可說是愈加猖狂。

事實上，現在許多的勒索軟體攻擊已和當時不同，不再單純地以「勒索金錢」作為目標，而是在駭客入侵系統竊取完資料後，用以破壞放案現場、避免殘存在系統中的樣本被調查追蹤。

因此，很多乍看以為是勒索軟體的攻擊事件，實際都沒有想像中單純，過去有些銀行業的案例便是如此，以為只是被加密勒索、其實在未注意到的時候已經被偷了錢。

此次調查所使用的素材有…?

中油事件爆發後，奧義馬上就對這起嚴重度極高的案件感到興趣，想要進一步分析瞭解事件的起源與脈絡；然而正如同前面所述，奧義並未直接參與此次調查，那我們是利用哪些素材推理案情呢？

• 素材一：調查局公布的相關案情

‍

‍

針對 5 月 4、5 日的數起攻擊，調查局召開記者會並發布新聞進行說明，說明中對於案情與手法的敘述十分具體且寫實，不僅提到了網域控制伺服器 (AD Server)、群組原則 (GPO) 和滲透工具 Cobaltstrike 等，亦指出可能還有多達十家企業遭到駭客鎖定，只是攻擊行動尚未正式爆發、建議企業多加留意。

這更是首次在調查局的官方報告中，直接明白點出 APT Group 的代號 — Winnti Group。調查局研判，本次的攻擊行動應為 Winnti Group 或其他與 Winnti Group 密切關聯的駭客組織所為。

起源於中國的駭客組織 Winnti Group 這幾年來相當地活躍，不少資安事件中都有他們的影子，而 Winnti Group 也普遍被認為是受到中國國家贊助、具有強烈中方色彩的組織，早期他們主要攻擊遊戲公司與民生企業，近年則是在很多國家針對高科技產業發動攻擊。

• 素材二：中華電信公布的相關通報

‍

‍

第二個公開素材，則是 5 月 6 日由中華電信所公布的資安通報，以及通報內此事件相關的 IoC（Indicator of Compromise，入侵指標），包含事件中所有 SHA1 Hash 和 C2 Hash 檔案。

這一串大量的 IoC 中，衍生了一個令奧義團隊十分在意的疑點，也就是中繼站的數量明顯太多，惡意程式數量有限、駭客真正使用的後門只有少少幾個，不需要這麼多中繼站伺服器，這麼多中繼站很可能多數都非直接相關。

‍

• 素材三：疑似遭相同手法攻擊的企業樣本

‍

素材三算是此番推論中非常關鍵的一項內容，中油事件爆發後不久，五月中旬時有一個遭受攻擊的企業客戶找上奧義、希望我們協助進行該攻擊事件的資安鑑識。

然而，該企業原先並不是奧義智慧客戶，未曾安裝過奧義智慧的 EDR/MDR 監控，且在客戶提出鑑識需求時，企業內的電腦及 AD 伺服器幾乎全部已經重灌完畢，團隊僅能利用重灌後殘存的資料進行分析，造成鑑識難度大幅提升。

所幸有幾台在調查範圍內、重要的網管電腦仍未被重灌，保留了攻擊發生當下的環境，因此我們得以透過這些樣本，著手進行更深入的調查，這個幸運的事實在鑑識時起了相當大的作用。

另一個引起我們留心的關鍵是，該企業與奧義描述狀況時便直接告知，他們在調查時發現到，該企業攻擊事件樣本中，有一個 Hash 檔案與中華電信公布的 IoC 完全吻合，疑似與中油事件遭受的為相同攻擊。

綜合以上三個調查素材，奧義團隊推測這不是一起單純的勒索攻擊，勒索軟體理論上不該從 AD 伺服器開始擴散，從 AD 派送 GPO 的這種攻擊方式，絕對是人類駭客的行為，而非自動化的惡意程式。

新時代新方法，該用新科技來鑑識了！

傳統的鑑識方式大量憑藉資安人員本身的經驗，以技術和經驗累積出的直覺來推敲案情。當企業遭遇駭客攻擊時，傳統鑑識方式之下，資安人員即便到了現場，也僅能在數千台端點中抽出幾台，如 AD 伺服器或重要資料遭竊取的電腦等，透過工具掃描、調查後做出報告，得出諸如駭客來自哪個國家，或是 AD 伺服器遭攻擊、建議企業重灌系統等結論。

然而，憑藉經驗判斷出的結論，若無證據難以取信於人，而資安事件的始末往往難以驗證真偽，畢竟攻擊方不可能會出面證實或駁斥調查結果，也正因如此，講究科學與證據的鑑識愈加重要。

除此之外，在很多情況下 AD 伺服器可能僅是被駭客獲得了高權限的憑證 (Credential)，不代表 AD 伺服器直接被駭客攻擊，如此一來，就算重灌 AD 也並不表示企業能從此高枕無憂、遠離駭侵威脅。

奧義智慧科學化的資料分析及鑑識

那麼，現在我們有基本的素材，該如何還原駭客攻擊場景呢？有了上述的三個基本素材後，我們就要開始反向回推當時駭客犯案的場景，推論出完整事件故事了。

首先，利用素材 3 殘存的惡意程式樣本，將事件當下的攻擊場景描繪出來，我們在素材 3 企業客戶的電腦中，也的確發現了與中華電信公布的 IoC 有一模一樣 Hash 的惡意程式檔案。

‍

‍

有了惡意程式後，奧義團隊進一步展開分析，在惡意程式中發現了兩個中繼站 IP，而這兩個 IP（64[.]64.234.24 以及 104[.]233.224.227），正巧也就在中華電信公布的 C2 中。至此，我們手上握有一個惡意程式及兩個 C2，總共三筆線索。客戶電腦中有幾台已經被安裝了這些東西，所以我們對此進行還原。

‍

‍

‍

首先，我們透過奧義智慧的 AI 資安戰情中心 CyCarrier，還原現場殘存的鑑識資料，把場域中電腦之間的關係給找出來，理解駭客最有可能是從哪裡突破、展開攻擊，並且攻擊在系統的什麼地方結束。

利用高可讀性的視覺化駕駛艙設計，配合 CyCraft AI 技術的依物證情境自動分析案情、推論事件脈絡，CyCarrier 得以自動產出惡意檔案關聯圖、程式行為關聯圖、攻擊脈絡圖表，以及重要的駭侵案情時序圖，資安人員調查時，便能夠清晰完整地掌握最有可能的駭侵場域、端點勢態資訊等，以利進一步分析駭客行為。

緊接著，則是透過前述蒐集到的兩個 C2，以奧義智慧的全球威脅情資平台 CyberTotal，分析如 IP、Domain 等 CTI（Cyber Threat Intelligence，網路威脅情資）線索，以找尋有可能的攻擊者。

CyberTotal 以 AI 技術即時解析並彙整逾 130 國的威脅樣態，並整合奧義團隊長期的研究、以及超過 20 家商用情資來源等。而在結合了龐大的情資數量與自動化關聯分析優化技術下，CyberTotal 得以針對前述兩個 C2 IP 線索，快速搜索和關聯出全球情資中與這兩筆 IP 相關的描述、文獻等資料。

以科學化的資料技術分析線索素材，再從分析結果出發去進行事件的推論和深入調查，除了更有效率之外，也更能提出具體且有證據的鑑識報告。

小結

本篇文章中，我們提到奧義智慧透過調查局與中華電信公開的資訊，以及調查疑似遭相同攻擊的企業所取得的樣本，利用 CyCarrier 和 CyberTotal 還原犯案現場的調查過程與分析方式，並發現到主要案情中兩台 AD 伺服器 IP、三台網管電腦，以及兩個 APT 中繼站 IP。

而在「加油吧！勒索軟體」的下篇，將會針對大家關切的核心案情內容、駭客的攻擊手法，以及中油勒索軟體案件的整體脈絡及時間軸，提供更加詳細完整的說明。

加油吧，勒索軟體！以情資關聯推敲中油勒索軟體事件脈絡（下）

奧義資安部落格將持續發表技術文章、資安新聞、資安事件分析等，歡迎按讚追蹤奧義智慧科技的 Facebook 粉絲專頁，以便獲取第一手消息！如果有想看的文章主題或任何想法，也歡迎留言和我們互動唷。