精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

當(dāng)前位置:安全行業(yè)動(dòng)態(tài) → 正文

黑客組織“洋蔥狗”潛伏3年終曝光 定期偷襲能源及交通行業(yè)

責(zé)任編輯:editor004 |來源:企業(yè)網(wǎng)D1Net  2016-03-09 11:30:02 本文摘自:360安全播報(bào)

360天眼實(shí)驗(yàn)室的追日?qǐng)F(tuán)隊(duì)日前披露稱,一個(gè)名為“洋蔥狗”(OnionDog)的黑客組織長期對(duì)亞洲國家的能源、交通等基礎(chǔ)行業(yè)進(jìn)行網(wǎng)絡(luò)滲透和情報(bào)竊取,根據(jù)大數(shù)據(jù)關(guān)聯(lián)分析,“洋蔥狗”的首次活動(dòng)可追溯到2013年10月,之后兩年僅在7月底至9月初之間活動(dòng),木馬自身設(shè)定的生命周期平均只有15天,具有鮮明的組織性和目的性。

“洋蔥狗”惡意程序利用了朝鮮語系國家流行辦公軟件Hangul的漏洞傳播,并通過USB蠕蟲擺渡攻擊隔離網(wǎng)目標(biāo)。此外,“洋蔥狗”還使用了暗網(wǎng)網(wǎng)橋(Onion City)通信,借此無需洋蔥瀏覽器就可直接訪問暗網(wǎng)中的域名,使其真實(shí)身份隱蔽在完全匿名的Tor網(wǎng)絡(luò)里。

“洋蔥狗”APT攻擊瞄準(zhǔn)基礎(chǔ)行業(yè)

“洋蔥狗”的攻擊目標(biāo)精準(zhǔn)鎖定在朝鮮語系國家的基礎(chǔ)行業(yè)。2015年,該組織主要攻擊了港口、VTS(船舶交通服務(wù))、地鐵、公交等交通機(jī)構(gòu);而在此前2014年的一輪攻擊中,“洋蔥狗”則侵襲了多家電力公司和水資源公社等能源企業(yè)。

截至目前,360威脅情報(bào)中心共發(fā)現(xiàn)“洋蔥狗”相關(guān)的96組惡意代碼、14個(gè)C&C域名和IP。其首次出現(xiàn)在2013年10月,之后都是在夏天集中出現(xiàn),而且木馬設(shè)定了自身的存活時(shí)間,從木馬被編譯出來到終止活動(dòng)最短只有3天,最長也不過29天,平均生命周期為15天,這也使其相比長期活躍的黑客攻擊更難以被受害企業(yè)察覺和重視。

洋蔥狗”的傳播渠道以魚叉式郵件定向發(fā)給攻擊目標(biāo)為主,早期版本的木馬直接用圖標(biāo)和文件名偽裝為HWP文檔(Hangul辦公軟件的文檔格式),此后又出現(xiàn)了利用Hangul漏洞的升級(jí)版本,就是在真正的HWP文檔嵌入惡意代碼,打開文檔觸發(fā)漏洞即下載激活木馬。

由于能源等重要基礎(chǔ)行業(yè)普遍采用內(nèi)網(wǎng)隔離措施,“洋蔥狗”則運(yùn)用U盤擺渡的方式打破了物理隔離的虛假安全感。在震網(wǎng)病毒攻破伊朗核電站的APT攻擊經(jīng)典案例中,病毒利用工作人員的U盤打入隔離網(wǎng)內(nèi),“洋蔥狗”也借鑒使用了這個(gè)通道,生成USB蠕蟲向攻擊對(duì)象的內(nèi)網(wǎng)進(jìn)行滲透。

“強(qiáng)迫癥”式精密化組織

在“洋蔥狗”的惡意代碼活動(dòng)中,有著近乎“強(qiáng)迫癥”的規(guī)范:

首先,惡意代碼從被創(chuàng)建的PDB(符號(hào)文件)路徑上,就有著嚴(yán)格的命名規(guī)則,例如USB蠕蟲的路徑是APT-USB,釣魚郵件惡意文檔的路徑是APT-WebServer;

當(dāng)“洋蔥狗”的木馬成功釋放后,它會(huì)請(qǐng)求C&C(木馬服務(wù)器),下載其它惡意程序并保存到%temp%目錄,再統(tǒng)一以“XXX_YYY.jpg”形態(tài)作為文件名。這些名稱都有著特定涵義,一般是指向攻擊目標(biāo)。

種種跡象表明,“洋蔥狗”對(duì)出擊時(shí)間、攻擊對(duì)象、漏洞挖掘和利用、惡意代碼等整套流程都有著嚴(yán)密的組織和部署,同時(shí)它還非常重視隱藏自己的行跡。

2014年,“洋蔥狗”使用了韓國境內(nèi)的多個(gè)固定IP作為木馬服務(wù)器地址,當(dāng)然這并不意味著攻擊者位于韓國,這些IP更可能只是傀儡機(jī)和跳板。到了2015年,“洋蔥狗”的網(wǎng)絡(luò)通信全面升級(jí)為暗網(wǎng)網(wǎng)橋,這也是目前APT黑客攻擊中比較高端和隱蔽的網(wǎng)絡(luò)通信方式。

暗網(wǎng)網(wǎng)橋,是指暗網(wǎng)搜索引擎利用Tor2web代理技術(shù),可以深度訪問匿名的Tor網(wǎng)絡(luò),而無需再專門使用洋蔥瀏覽器。“洋蔥狗”正是利用暗網(wǎng)網(wǎng)橋?qū)⒖刂颇抉R的服務(wù)器藏匿在Tor網(wǎng)絡(luò)里。

近年來,針對(duì)基礎(chǔ)行業(yè)設(shè)施和大型企業(yè)的黑客APT攻擊活動(dòng)頻繁曝出,其中有的會(huì)攻擊工控系統(tǒng),如Stuxnet(震網(wǎng))、Black Energy(黑暗力量)等,直接產(chǎn)生巨大的破壞力;還有的則是以情報(bào)竊取為主要目的,如此前由卡巴斯基、AlienVault實(shí)驗(yàn)室和Novetta等協(xié)作披露的Lazarus黑客組織,以及360追日?qǐng)F(tuán)隊(duì)最新曝光的OnionDog(洋蔥狗),這類秘密活動(dòng)的網(wǎng)絡(luò)犯罪所造成的損失同樣嚴(yán)重。

根據(jù)“洋蔥狗”的活動(dòng)規(guī)律,今年夏天很可能又是其新一輪攻勢(shì)的開始。

關(guān)鍵字:洋蔥狗Novetta

本文摘自:360安全播報(bào)

x 黑客組織“洋蔥狗”潛伏3年終曝光 定期偷襲能源及交通行業(yè) 掃一掃
分享本文到朋友圈
當(dāng)前位置:安全行業(yè)動(dòng)態(tài) → 正文

黑客組織“洋蔥狗”潛伏3年終曝光 定期偷襲能源及交通行業(yè)

責(zé)任編輯:editor004 |來源:企業(yè)網(wǎng)D1Net  2016-03-09 11:30:02 本文摘自:360安全播報(bào)

360天眼實(shí)驗(yàn)室的追日?qǐng)F(tuán)隊(duì)日前披露稱,一個(gè)名為“洋蔥狗”(OnionDog)的黑客組織長期對(duì)亞洲國家的能源、交通等基礎(chǔ)行業(yè)進(jìn)行網(wǎng)絡(luò)滲透和情報(bào)竊取,根據(jù)大數(shù)據(jù)關(guān)聯(lián)分析,“洋蔥狗”的首次活動(dòng)可追溯到2013年10月,之后兩年僅在7月底至9月初之間活動(dòng),木馬自身設(shè)定的生命周期平均只有15天,具有鮮明的組織性和目的性。

“洋蔥狗”惡意程序利用了朝鮮語系國家流行辦公軟件Hangul的漏洞傳播,并通過USB蠕蟲擺渡攻擊隔離網(wǎng)目標(biāo)。此外,“洋蔥狗”還使用了暗網(wǎng)網(wǎng)橋(Onion City)通信,借此無需洋蔥瀏覽器就可直接訪問暗網(wǎng)中的域名,使其真實(shí)身份隱蔽在完全匿名的Tor網(wǎng)絡(luò)里。

“洋蔥狗”APT攻擊瞄準(zhǔn)基礎(chǔ)行業(yè)

“洋蔥狗”的攻擊目標(biāo)精準(zhǔn)鎖定在朝鮮語系國家的基礎(chǔ)行業(yè)。2015年,該組織主要攻擊了港口、VTS(船舶交通服務(wù))、地鐵、公交等交通機(jī)構(gòu);而在此前2014年的一輪攻擊中,“洋蔥狗”則侵襲了多家電力公司和水資源公社等能源企業(yè)。

截至目前,360威脅情報(bào)中心共發(fā)現(xiàn)“洋蔥狗”相關(guān)的96組惡意代碼、14個(gè)C&C域名和IP。其首次出現(xiàn)在2013年10月,之后都是在夏天集中出現(xiàn),而且木馬設(shè)定了自身的存活時(shí)間,從木馬被編譯出來到終止活動(dòng)最短只有3天,最長也不過29天,平均生命周期為15天,這也使其相比長期活躍的黑客攻擊更難以被受害企業(yè)察覺和重視。

洋蔥狗”的傳播渠道以魚叉式郵件定向發(fā)給攻擊目標(biāo)為主,早期版本的木馬直接用圖標(biāo)和文件名偽裝為HWP文檔(Hangul辦公軟件的文檔格式),此后又出現(xiàn)了利用Hangul漏洞的升級(jí)版本,就是在真正的HWP文檔嵌入惡意代碼,打開文檔觸發(fā)漏洞即下載激活木馬。

由于能源等重要基礎(chǔ)行業(yè)普遍采用內(nèi)網(wǎng)隔離措施,“洋蔥狗”則運(yùn)用U盤擺渡的方式打破了物理隔離的虛假安全感。在震網(wǎng)病毒攻破伊朗核電站的APT攻擊經(jīng)典案例中,病毒利用工作人員的U盤打入隔離網(wǎng)內(nèi),“洋蔥狗”也借鑒使用了這個(gè)通道,生成USB蠕蟲向攻擊對(duì)象的內(nèi)網(wǎng)進(jìn)行滲透。

“強(qiáng)迫癥”式精密化組織

在“洋蔥狗”的惡意代碼活動(dòng)中,有著近乎“強(qiáng)迫癥”的規(guī)范:

首先,惡意代碼從被創(chuàng)建的PDB(符號(hào)文件)路徑上,就有著嚴(yán)格的命名規(guī)則,例如USB蠕蟲的路徑是APT-USB,釣魚郵件惡意文檔的路徑是APT-WebServer;

當(dāng)“洋蔥狗”的木馬成功釋放后,它會(huì)請(qǐng)求C&C(木馬服務(wù)器),下載其它惡意程序并保存到%temp%目錄,再統(tǒng)一以“XXX_YYY.jpg”形態(tài)作為文件名。這些名稱都有著特定涵義,一般是指向攻擊目標(biāo)。

種種跡象表明,“洋蔥狗”對(duì)出擊時(shí)間、攻擊對(duì)象、漏洞挖掘和利用、惡意代碼等整套流程都有著嚴(yán)密的組織和部署,同時(shí)它還非常重視隱藏自己的行跡。

2014年,“洋蔥狗”使用了韓國境內(nèi)的多個(gè)固定IP作為木馬服務(wù)器地址,當(dāng)然這并不意味著攻擊者位于韓國,這些IP更可能只是傀儡機(jī)和跳板。到了2015年,“洋蔥狗”的網(wǎng)絡(luò)通信全面升級(jí)為暗網(wǎng)網(wǎng)橋,這也是目前APT黑客攻擊中比較高端和隱蔽的網(wǎng)絡(luò)通信方式。

暗網(wǎng)網(wǎng)橋,是指暗網(wǎng)搜索引擎利用Tor2web代理技術(shù),可以深度訪問匿名的Tor網(wǎng)絡(luò),而無需再專門使用洋蔥瀏覽器。“洋蔥狗”正是利用暗網(wǎng)網(wǎng)橋?qū)⒖刂颇抉R的服務(wù)器藏匿在Tor網(wǎng)絡(luò)里。

近年來,針對(duì)基礎(chǔ)行業(yè)設(shè)施和大型企業(yè)的黑客APT攻擊活動(dòng)頻繁曝出,其中有的會(huì)攻擊工控系統(tǒng),如Stuxnet(震網(wǎng))、Black Energy(黑暗力量)等,直接產(chǎn)生巨大的破壞力;還有的則是以情報(bào)竊取為主要目的,如此前由卡巴斯基、AlienVault實(shí)驗(yàn)室和Novetta等協(xié)作披露的Lazarus黑客組織,以及360追日?qǐng)F(tuán)隊(duì)最新曝光的OnionDog(洋蔥狗),這類秘密活動(dòng)的網(wǎng)絡(luò)犯罪所造成的損失同樣嚴(yán)重。

根據(jù)“洋蔥狗”的活動(dòng)規(guī)律,今年夏天很可能又是其新一輪攻勢(shì)的開始。

關(guān)鍵字:洋蔥狗Novetta

本文摘自:360安全播報(bào)

電子周刊
回到頂部

關(guān)于我們聯(lián)系我們版權(quán)聲明隱私條款廣告服務(wù)友情鏈接投稿中心招賢納士

企業(yè)網(wǎng)版權(quán)所有 ©2010-2024 京ICP備09108050號(hào)-6 京公網(wǎng)安備 11010502049343號(hào)

^ 
    • <menuitem id="jw4sk"></menuitem>
    

    • 

      3. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      
主站蜘蛛池模板:
合江县|
遂溪县|
宜兰市|
凯里市|
临武县|
阿鲁科尔沁旗|
三明市|
三穗县|
白朗县|
锦屏县|
罗江县|
荆门市|
陵川县|
建昌县|
特克斯县|
化德县|
志丹县|
南城县|
遂昌县|
都匀市|
洞头县|
名山县|
阳曲县|
湟中县|
阳曲县|
辽阳市|
盐城市|
金溪县|
阳西县|
元阳县|
西昌市|
巴南区|
常德市|
丰城市|
内丘县|
渑池县|
茂名市|
越西县|
新晃|
疏附县|
灵石县|