加油吧，勒索軟體！以情資關聯推敲中油勒索軟體事件脈絡（下）

‍

今年五月初，包含中油在內多家臺灣企業，遭受到疑似中國駭客的勒索軟體攻擊，震驚各界且引起社會關注。上一篇文章中，我們提到奧義智慧透過調查局、中華電信等單位公開的資訊，以及調查了疑似遭到相同攻擊的單位之後，利用 CyCarrier 與 CyberTotal 分析情資、還原案件脈絡的過程與做法。

還沒看過的朋友建議先閱讀上集唷！傳送門：
加油吧，勒索軟體！以情資關聯推敲中油勒索軟體事件脈絡（上）

這次的「加油吧！勒索軟體」下篇，將針對大家關注的核心案情與攻擊方式，分享奧義研究後更完整的推論詳情。喜歡這類型部落格內容的話，歡迎大家在 Medium 上給我們拍手 👏 讓我們知道你的感想！

‍

‍

核心案情解析

接續上集說明過的調查方式及線索，在使用 CyCarrier、CyberTotal 兩項工具還原犯案現場後，我們發現的主要案情大致如上圖所示，包含了：

1. 兩台 AD 伺服器 IP
2. 三台網管電腦
3. 兩個 APT 中繼站 IP（64[.]64.234.24 和 104[.]233.224.227）

最先被攻擊的是那三台網管電腦和兩台的 AD 伺服器，調查開始時 AD 已被重灌，但幸好，網管電腦仍保存著完整的資訊，甚至後門程式都還連接著惡意的中繼站。

而調查顯示，雖然中油系統是在 5 月 5 日中午才開始癱瘓，不過駭客的攻勢最早卻可以回溯到好幾天前，出現在 4 月 26 日的半夜 23:48，駭客透過 Schedule 排程將此次使用的後門程式 qwins5.exe 和 dewm.exe 派送到網管電腦上。

不過，為何駭客能輕易地安裝後門程式呢？

我們由此推斷，攻擊者應該許久以前便已擁有權限、並且潛伏在系統裡，等待有合適的攻擊時機。畢竟發動惡意程式一定會觸動系統的告警，進而使惡意程式被清理掉，幾乎不可能重複使用相同惡意程式，所以駭客必須等待一個效果最佳的時機點來發動。

‍

‍

緊接著，4 月 27 日凌晨 01:01 駭客再次行動，將本次行動主要使用的後門程式 CDPSSVC.DLL 安裝到網管電腦中，指令中可看到攻擊者下了 intall.bat，從上圖可看出駭客下了多個指令，然而可惜的是，只有 CDPSSVC.DLL 還留在我們調查的電腦裡，其他檔案都已被重灌清除。而 CDPSSVC.DLL 很有可能就是調查局報告中所指的 Winnti Group 惡意程式，以這個檔名來推論，也與 APT10 有所關聯。

‍

‍

所以，駭客在 4 月 26 號、並在 4 月 27 號裝設主要的後門程式，並且 5 月 4 日、5 月 5 日兩天，在不同的對象之間發起攻擊，以 GPO 規則派送惡意軟體後，隔天系統就開始受到惡意軟體的影響，推論整體攻擊應進行了兩三天的時間。

‍

‍

在 5 月 4、5 日這之間，只要電腦一啟動、用戶一登入，並且 GPO 規則更新後，惡意程式就派送下去了，上圖可看到駭客以 PowerShell 寫的勒索軟體 Loader。

也就是說，後門程式和勒索軟體是分開的，4 月底裝的是後門程式，到了要開始展開攻擊的前一天半夜，才 GPO 派送勒索軟體下去、導致隔天開機的人就中了駭客的攻擊。

‍

‍

這支惡意程式事實上在開機時就開始執行，但從上圖中可以看出，惡意程式會等到中午 12:10 才開始加密檔案、破壞資料，駭客選擇在中午發動攻勢的原因，研判可能是看準了午休的時間，工程師與資安專家較難立即反應和處理。很明顯地，這次攻擊事件的攻擊者主要目標不是為了勒索錢財，而是要讓這些關鍵基礎建設的企業難堪、造成恐慌或動盪。

事件中總共被啟動了兩個惡意程式，不過，第一次的勒索軟體卻並沒有出現勒索信內容，而是到了第二個勒索軟體才有，透過這一點，能夠推論這個攻擊並不單純，畢竟若只為勒索金錢的話，駭客不會用上述的方式來攻擊。趁著中午人潮較多又難立即反應的時間點，讓民眾突然無法加油，並造成經濟動盪、民生輿論壓力等，才是駭客真正的目標。

‍

‍

在我們調查客戶系統的過程中，除了和中華電信公布 IoC 吻合的資料外，也發現了一些不同 HASH 和檔名（上圖紅色顯示部分），其中 C2 伺服器其實只有兩個。

事件脈絡推論

‍

‍

結合前述的公開線索分析，以及調查客戶網管電腦後，我們推論整個攻擊事件的時序脈絡可能如下：

• 攻擊發生前：駭客更早以前就已進入到系統內，擁有權限並且伺機而動。
• 4 月 26 日前後：駭客正式開始活動。
• 4 月 27 日：駭客第一次裝後門程式。
• 4 月 29 日：駭客第二次裝後門程式，為檔名相同但 HASH 不一樣的相異檔案，推測有可能是駭客測試 27 日安裝的惡意程式是否能連到 C2 時，發現有 Config 設置上的錯誤，因而重新再裝一次。
• 5 月 1 至 3 日：勞動節連假，而連假一般被認為是駭客攻擊的好發期間，畢竟相關技術人員或資安專家多半在休假，難以立即反應並處理駭客攻擊事件。
• 5 月 4 日：中午 12:10 後陸續開始出現勒索攻擊新聞，由於中油為國家重要的關鍵基礎設施，故多數大眾最關切的為中油遭到攻擊，然而，其實有多家企業接連都遭遇了相同的攻擊。
• 5 月 4 至 6 日：這段時間根據我們的合理推測，駭客接連針對企業發動攻擊，並且都維持著前一天半夜行動，使企業隔天開機更新 GPO 後即中勒索軟體，中午時勒索軟體開始加密檔案，如上的流程。
• 5 月 6 日：中華電信的通報及 IoC 等資訊公開。
• 5 月 7 日：經過數日的修補搶救，中油系統開始恢復正常。
• 5 月 15 日：法務部調查局針對此次的攻擊事件公布新聞稿。

除此之外，奧義智慧開始收到客戶消息，並展開客戶方調查鑑識行動的時間點，為 5 月 10 日。

發起攻擊的駭客究竟是誰？

寫到這裡，我們已大致介紹完此攻擊的手法及時序脈絡等。然而，從遭受攻擊的企業到社會大眾，許多人勢必十分好奇、亟欲得到解答的，便是攻擊者的真實身份；以下的章節將利用上述情資，嘗試分析並尋找有根據、值得參考的相關線索。

此次事件攻擊者的身份，從事件之初便在網路上掀起討論，而後調查局的公開新聞稿中，則提起了可能為 Winnti Group 或與其密切相關的組織所為。9 月 16 日，美國司法部宣布起訴五名疑似 APT 41 成員的中國籍駭客（Winnti 為 APT 41 常見別名之一），隨即我國調查局亦發布新聞稿進一步證實，提供了相關資料並與美方聯手追緝犯人。

‍

奧義 CyberTotal 威脅情資分析

‍

‍

上方的 gif 動圖為使用奧義智慧的威脅情資平台 CyberTotal，輸入此事件兩個 C2 後進行 AI 關聯分析的畫面。首先，104[.]233.224.227 對應到一個位於陝西的中國雲端服務器廠商的網域，而這個叫做賺錢貓的中國購物網站，從 CyberTotal 平台搜尋出的結果能看到，開了 3389、3306、80、135、137 等多個 Port，明顯能看出是一個 C2。

另一組 IP 64[.]64.234.24 也關聯出了一些網域的資訊。事實上，這兩個 C2 IP 在 CyberTotal 中對應到的很多網域，恰巧也都在中華電信所公布的 IoC 中，而上述關聯出的網域等，則多半與中國脫不了關係。

其次，系統也關聯出一篇相關度最高的文獻，指出 IP 對應的網域曾在某份白皮書中被提及，而依據白皮書的資訊，當時該威脅來源被認定為 APT 10，APT 10 在部分文獻或報導中亦常被詮釋為 Winnti Group 的別稱之一，且同樣為具強烈中方色彩的駭客組織。

‍

‍

透過以機器學習技術自動化解析與關聯的 CyberTotal 情資平台，調查出以上的結果。正如同上篇文章中所說，利用較為中立客觀、且有科學根據的方式，進行資安事件的鑑識， 即便奧義並未實際參與到中油事件的調查，卻亦能在資料與樣本不齊全的情況下，利用多種來源的情資，綜合分析出具有高參考價值的結論。

總結而論，證據指出這是一起帶有中方色彩的事件，並且絕對不是單純的勒索軟體攻擊，而是經過精心策畫的 APT 攻擊，對臺灣的危害與威脅也顯而易見。

結論

勒索軟體案件發生頻率連年提升，然而，卻有許多真正的攻擊目的和駭侵行動，躲藏在勒索事件的背後、意圖讓人掉以輕心。

如同五月初的這場攻擊事件一般，駭客利用 GPO 規則的方式派送惡意程式，並特意選在正中午才發動加密，絕非單純的為了勒索金錢，而從攻擊手法來看，也透露出駭客早在 4 月、甚至更久以前，便已經擁有高權限、潛伏在系統中的這一個事實。

針對關鍵基礎設施的 APT 攻擊，是具有極高嚴重程度的事件，企業單位與政府皆應高度重視。試想，若駭客對關鍵基礎設施的系統如此熟門熟路，那麼這次是影響加油刷卡，下一次呢？是否駭客有機會能侵入我們的其他基礎建設，破壞交通系統、破壞水電管線、甚至更激烈危險的破壞行為？

而駭客究竟是誰，到最後也已不是最急迫的一環，更重要的是，從 4 月底駭客開始行動、裝置第一次後門程式，到 5 月初駭客正式派送勒索軟體發動攻擊。我們本來有十天的時間，可以發現並且阻止駭客入侵，降低後續的損失和影響。

AI 自動化全場域鑑識、自動化情資分析，將是下一代 AI SOC 必然的趨勢。隨著科技日新月異的進步，駭客所利用的攻擊手段及工具也求新求變、不斷地演進，沒有滴水不漏的系統、百分之百安全的防護措施並不存在，快速發出告警、快速出分析報告、快速事件應變，才是未來面對層出不窮新型態攻擊的主要戰場。

奧義智慧的 AI 自動化資安防禦解決方案，在一萬台端點以內時，可達到一分鐘告警、十分鐘鑑識、三十分鐘快速結案，協助客戶從端點到網路、結合動態更新的網路威脅情資，即時地偵測駭客攻擊行動並加以阻擋。

現今人們大量利用網路的時代中，資安威脅早已無孔不入地滲進我們的生活中，駭客也可能早就潛入了機敏設施、企業系統中，等待一個破壞的最佳時機點，可靠的資安偵測與事件應變，才是能在如火如荼的資訊戰裡，扮演極為重要角色的一道防線。