加油吧,勒索軟體!以情資關聯推敲中油勒索軟體事件脈絡(下)

中油勒索軟體事件

今年五月初,包含中油在內多家臺灣企業,遭受到疑似中國駭客的勒索軟體攻擊,震驚各界且引起社會關注。上一篇文章中,我們提到奧義智慧透過調查局、中華電信等單位公開的資訊,以及調查了疑似遭到相同攻擊的單位之後,利用 CyCarrier 與 CyberTotal 分析情資、還原案件脈絡的過程與做法。

還沒看過的朋友建議先閱讀上集唷!傳送門:
加油吧,勒索軟體!以情資關聯推敲中油勒索軟體事件脈絡(上)

這次的「加油吧!勒索軟體」下篇,將針對大家關注的核心案情與攻擊方式,分享奧義研究後更完整的推論詳情。喜歡這類型部落格內容的話,歡迎大家在 Medium 上給我們拍手 👏 讓我們知道你的感想!

中油勒索軟體事件端點偵測畫面
中油勒索軟體事件端點偵測畫面
(端點資料均已去識別化)

核心案情解析

接續上集說明過的調查方式及線索,在使用 CyCarrier、CyberTotal 兩項工具還原犯案現場後,我們發現的主要案情大致如上圖所示,包含了:

  1. 兩台 AD 伺服器 IP
  2. 三台網管電腦
  3. 兩個 APT 中繼站 IP(64[.]64.234.24 和 104[.]233.224.227)

最先被攻擊的是那三台網管電腦和兩台的 AD 伺服器,調查開始時 AD 已被重灌,但幸好,網管電腦仍保存著完整的資訊,甚至後門程式都還連接著惡意的中繼站。

而調查顯示,雖然中油系統是在 5 月 5 日中午才開始癱瘓,不過駭客的攻勢最早卻可以回溯到好幾天前,出現在 4 月 26 日的半夜 23:48,駭客透過 Schedule 排程將此次使用的後門程式 qwins5.exe 和 dewm.exe 派送到網管電腦上。

不過,為何駭客能輕易地安裝後門程式呢?

我們由此推斷,攻擊者應該許久以前便已擁有權限、並且潛伏在系統裡,等待有合適的攻擊時機。畢竟發動惡意程式一定會觸動系統的告警,進而使惡意程式被清理掉,幾乎不可能重複使用相同惡意程式,所以駭客必須等待一個效果最佳的時機點來發動。

中油勒索軟體事件端點偵測畫面,顯示駭客等待最佳十一發動顯示駭客等待最佳時機發動攻擊
(端點資料均已去識別化)

緊接著,4 月 27 日凌晨 01:01 駭客再次行動,將本次行動主要使用的後門程式 CDPSSVC.DLL 安裝到網管電腦中,指令中可看到攻擊者下了 intall.bat,從上圖可看出駭客下了多個指令,然而可惜的是,只有 CDPSSVC.DLL 還留在我們調查的電腦裡,其他檔案都已被重灌清除。而 CDPSSVC.DLL 很有可能就是調查局報告中所指的 Winnti Group 惡意程式,以這個檔名來推論,也與 APT10 有所關聯。

中油勒索軟體事件端點偵測畫面,顯示攻擊者下了install.bat
(端點資料均已去識別化)

所以,駭客在 4 月 26 號、並在 4 月 27 號裝設主要的後門程式,並且 5 月 4 日、5 月 5 日兩天,在不同的對象之間發起攻擊,以 GPO 規則派送惡意軟體後,隔天系統就開始受到惡意軟體的影響,推論整體攻擊應進行了兩三天的時間。

GPO 派送惡意軟體
GPO 派送惡意軟體(端點資料均已遮蔽或去識別化)

在 5 月 4、5 日這之間,只要電腦一啟動、用戶一登入,並且 GPO 規則更新後,惡意程式就派送下去了,上圖可看到駭客以 PowerShell 寫的勒索軟體 Loader。

也就是說,後門程式和勒索軟體是分開的,4 月底裝的是後門程式,到了要開始展開攻擊的前一天半夜,才 GPO 派送勒索軟體下去、導致隔天開機的人就中了駭客的攻擊。

駭客以 PowerShell 寫的勒索軟體 Loadeㄐ
(資料均已去識別化)

這支惡意程式事實上在開機時就開始執行,但從上圖中可以看出,惡意程式會等到中午 12:10 才開始加密檔案、破壞資料,駭客選擇在中午發動攻勢的原因,研判可能是看準了午休的時間,工程師與資安專家較難立即反應和處理。很明顯地,這次攻擊事件的攻擊者主要目標不是為了勒索錢財,而是要讓這些關鍵基礎建設的企業難堪、造成恐慌或動盪。

事件中總共被啟動了兩個惡意程式,不過,第一次的勒索軟體卻並沒有出現勒索信內容,而是到了第二個勒索軟體才有,透過這一點,能夠推論這個攻擊並不單純,畢竟若只為勒索金錢的話,駭客不會用上述的方式來攻擊。趁著中午人潮較多又難立即反應的時間點,讓民眾突然無法加油,並造成經濟動盪、民生輿論壓力等,才是駭客真正的目標。

奧義智慧調查客戶系統過程中發現一些不同 HASH 和檔名(上圖紅色顯示部分)
發現與中華電信公布的不同 IoC

在我們調查客戶系統的過程中,除了和中華電信公布 IoC 吻合的資料外,也發現了一些不同 HASH 和檔名(上圖紅色顯示部分),其中 C2 伺服器其實只有兩個。


事件脈絡推論

中油勒索軟體事件脈絡,從4/26駭客開始活動,4/27日第一次安裝後門程式,4/28第二次安裝後門程式,駭客等待5/1勞動節連假發動攻擊,5/4至5/6多家企業遭受攻擊。
利用前述線索及分析資訊推敲的案情脈絡

結合前述的公開線索分析,以及調查客戶網管電腦後,我們推論整個攻擊事件的時序脈絡可能如下:

  • 攻擊發生前:駭客更早以前就已進入到系統內,擁有權限並且伺機而動。
  • 4 月 26 日前後:駭客正式開始活動。
  • 4 月 27 日:駭客第一次裝後門程式。
  • 4 月 29 日:駭客第二次裝後門程式,為檔名相同但 HASH 不一樣的相異檔案,推測有可能是駭客測試 27 日安裝的惡意程式是否能連到 C2 時,發現有 Config 設置上的錯誤,因而重新再裝一次。
  • 5 月 1 至 3 日:勞動節連假,而連假一般被認為是駭客攻擊的好發期間,畢竟相關技術人員或資安專家多半在休假,難以立即反應並處理駭客攻擊事件。
  • 5 月 4 日:中午 12:10 後陸續開始出現勒索攻擊新聞,由於中油為國家重要的關鍵基礎設施,故多數大眾最關切的為中油遭到攻擊,然而,其實有多家企業接連都遭遇了相同的攻擊。
  • 5 月 4 至 6 日:這段時間根據我們的合理推測,駭客接連針對企業發動攻擊,並且都維持著前一天半夜行動,使企業隔天開機更新 GPO 後即中勒索軟體,中午時勒索軟體開始加密檔案,如上的流程。
  • 5 月 6 日:中華電信的通報及 IoC 等資訊公開。
  • 5 月 7 日:經過數日的修補搶救,中油系統開始恢復正常。
  • 5 月 15 日:法務部調查局針對此次的攻擊事件公布新聞稿。

除此之外,奧義智慧開始收到客戶消息,並展開客戶方調查鑑識行動的時間點,為 5 月 10 日。


發起攻擊的駭客究竟是誰?

寫到這裡,我們已大致介紹完此攻擊的手法及時序脈絡等。然而,從遭受攻擊的企業到社會大眾,許多人勢必十分好奇、亟欲得到解答的,便是攻擊者的真實身份;以下的章節將利用上述情資,嘗試分析並尋找有根據、值得參考的相關線索。

此次事件攻擊者的身份,從事件之初便在網路上掀起討論,而後調查局的公開新聞稿中,則提起了可能為 Winnti Group 或與其密切相關的組織所為。9 月 16 日,美國司法部宣布起訴五名疑似 APT 41 成員的中國籍駭客(Winnti 為 APT 41 常見別名之一),隨即我國調查局亦發布新聞稿進一步證實,提供了相關資料並與美方聯手追緝犯人。

奧義 CyberTotal 威脅情資分析

使用奧義智慧威脅情資平台 CyberTotal,輸入此事件兩個 C2 後進行 AI 關聯分析

上方的 gif 動圖為使用奧義智慧的威脅情資平台 CyberTotal,輸入此事件兩個 C2 後進行 AI 關聯分析的畫面。首先,104[.]233.224.227 對應到一個位於陝西的中國雲端服務器廠商的網域,而這個叫做賺錢貓的中國購物網站,從 CyberTotal 平台搜尋出的結果能看到,開了 3389、3306、80、135、137 等多個 Port,明顯能看出是一個 C2。

另一組 IP 64[.]64.234.24 也關聯出了一些網域的資訊。事實上,這兩個 C2 IP 在 CyberTotal 中對應到的很多網域,恰巧也都在中華電信所公布的 IoC 中,而上述關聯出的網域等,則多半與中國脫不了關係。

其次,系統也關聯出一篇相關度最高的文獻,指出 IP 對應的網域曾在某份白皮書中被提及,而依據白皮書的資訊,當時該威脅來源被認定為 APT 10,APT 10 在部分文獻或報導中亦常被詮釋為 Winnti Group 的別稱之一,且同樣為具強烈中方色彩的駭客組織。


威脅情資自動分析
機器學習技術自動化解析與關聯

透過以機器學習技術自動化解析與關聯的 CyberTotal 情資平台,調查出以上的結果。正如同上篇文章中所說,利用較為中立客觀、且有科學根據的方式,進行資安事件的鑑識, 即便奧義並未實際參與到中油事件的調查,卻亦能在資料與樣本不齊全的情況下,利用多種來源的情資,綜合分析出具有高參考價值的結論。

總結而論,證據指出這是一起帶有中方色彩的事件,並且絕對不是單純的勒索軟體攻擊,而是經過精心策畫的 APT 攻擊,對臺灣的危害與威脅也顯而易見。


結論

勒索軟體案件發生頻率連年提升,然而,卻有許多真正的攻擊目的和駭侵行動,躲藏在勒索事件的背後、意圖讓人掉以輕心。

如同五月初的這場攻擊事件一般,駭客利用 GPO 規則的方式派送惡意程式,並特意選在正中午才發動加密,絕非單純的為了勒索金錢,而從攻擊手法來看,也透露出駭客早在 4 月、甚至更久以前,便已經擁有高權限、潛伏在系統中的這一個事實。

針對關鍵基礎設施的 APT 攻擊,是具有極高嚴重程度的事件,企業單位與政府皆應高度重視。試想,若駭客對關鍵基礎設施的系統如此熟門熟路,那麼這次是影響加油刷卡,下一次呢?是否駭客有機會能侵入我們的其他基礎建設,破壞交通系統、破壞水電管線、甚至更激烈危險的破壞行為?

而駭客究竟是誰,到最後也已不是最急迫的一環,更重要的是,從 4 月底駭客開始行動、裝置第一次後門程式,到 5 月初駭客正式派送勒索軟體發動攻擊。我們本來有十天的時間,可以發現並且阻止駭客入侵,降低後續的損失和影響。

AI 自動化全場域鑑識、自動化情資分析,將是下一代 AI SOC 必然的趨勢。隨著科技日新月異的進步,駭客所利用的攻擊手段及工具也求新求變、不斷地演進,沒有滴水不漏的系統、百分之百安全的防護措施並不存在,快速發出告警、快速出分析報告、快速事件應變,才是未來面對層出不窮新型態攻擊的主要戰場。

奧義智慧的 AI 自動化資安防禦解決方案,在一萬台端點以內時,可達到一分鐘告警、十分鐘鑑識、三十分鐘快速結案,協助客戶從端點到網路、結合動態更新的網路威脅情資,即時地偵測駭客攻擊行動並加以阻擋。

現今人們大量利用網路的時代中,資安威脅早已無孔不入地滲進我們的生活中,駭客也可能早就潛入了機敏設施、企業系統中,等待一個破壞的最佳時機點,可靠的資安偵測與事件應變,才是能在如火如荼的資訊戰裡,扮演極為重要角色的一道防線。

Writer: CyCraft

關於 CyCraft

奧義智慧科技(CyCraft Technology)是一家專注於 AI 自動化技術的資安科技公司,成立於2017年。總部設於台灣,在日本和新加坡均設有子公司。為亞太地區的政府機關、警政國防、銀行和高科技製造產業提供專業資安服務。獲得華威國際集團(The CID Group)和淡馬錫控股旗下蘭亭投資(Pavilion Capital)的強力支持,並獲得國際頂尖研究機構 Gartner、IDC、Frost & Sullivan 的多項認可,以及海內外大獎的多次肯定。同時也是多個跨國資安組織和台灣資安社群的成員和合作夥伴,長年致力於資安產業的發展。

訂閱奧義智慧電子報

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
點擊此按鈕,即表示您同意奧義智慧的隱私權政策,並同意奧義智慧使用您所提供的資訊並寄送資訊給您。您隨時可以取消訂閱。