游走在黑暗森林里的“狩猎者”与“黑店”组织的十年斗法

阅读量81646

发布时间 : 2020-08-25 16:00:12

 

看似平静的网络空间,实则暗潮汹涌,其中不乏无数勇立潮头的捍卫者,时刻守护着网络空间的安全。在此其中,一支安全团队脱颖而出—— 360高级威胁研究院(ATA)。

近期,360高级威胁研究院(ATA)又一次独家发现了APT组织Darkhotel(译名“黑店”)的新实锤,并登上ISC 2020大会,首次重磅发布了这次魔道斗法的全过程。

一边是游走在网络空间里的安全捍卫者,曾实力捕获全球约40个APT组织;一边是时刻企图肆虐网络的威胁制造者,曾连续针对我国各领域发起网络侵袭,此次再度掀起风云对话,战局走势不免引人关注。

 

追踪十年“黑店” 再度披露惊天恶绩

首先,说起拥有着东亚背景APT组织Darkhotel,其相关攻击行动最早可以追溯到2007年。因为长期针对企业高管、政府机构、国防工业、电子工业等重要机构实施网络间谍攻击活动,其一系列的作恶行径让网络安全领域波澜迭起。

而在2014年11月,当这个专门将攻击目标锁定为企业高管的间谍组织开始浮出水面,其足迹早已遍布中国、朝鲜、日本、缅甸、俄罗斯等全球多国。

刀尖行走势必会百密一疏。随着Darkhotel露出马脚,360高级威胁研究院开始了对其的长期持续性追踪,一夕间,从所向披靡到被处处针对,Darkhotel似乎尝尽败绩。

  • 2018年4月,360高级威胁研究院率先监测到Darkhotel组织瞄准中、俄、日、韩等国政府及组织机构或企业单位,尤其针对中国重点省份外贸企业单位和相关机构展开攻击;
  • 今年2月,在Win 7停服之际,360高级威胁研究院全球首家捕获Darkhotel组织利用“双星”0day漏洞,瞄准我国商贸相关的政府机构发动攻击;
  • 今年3月,360高级威胁研究院再次捕获到Darkhotel组织,劫持某VPN厂商下发恶意文件,锁定中国驻外机构、政府相关单位发动定向攻击。

交手数次,360高级威胁研究院发现老对头Darkhotel组织近年攻击行动越发频繁和“肆无忌惮”,其中已知的行为就包括W行动、Darkhotel、Erebus、Daybreak、Thinmon等。不仅如此,该组织使用的恶意代码极为复杂,漏洞武器库也极其充实,囊括双杀0day、双星0day等在内。

就在今年3月的这次攻击中,360高级威胁研究院利用360安全大脑发现DarkHotel使用了一个从未被披露过的全新后门框架,并根据该攻击组件的文件名将其命名为“Thinmon”后门框架。

继续深挖之下,这个神秘的全新后门框架实际上掩盖着另一个惊天秘密——自2017年起,Darkhotel利用这一框架,对我国实施了长达三年的持续性攻击。

 

披露全新秘密武器 Thinmon究竟是何方神圣?

“后门程序”,如同“开天窗”的管理员身份。Thinmon这一后门程序其中不乏屏幕截图、文件窃取、键盘记录、远程监控等功能,且其插件在计算机中皆以二进制加密的形式存放在临时目录,只有在需要被加载启动时,调度模块才会对其解密并加载。

可以说,Thinmon是黑客组织长期潜伏渗透,进行情报窃取的绝佳间谍手段。

利用这款秘密武器,黑店针对我国东部沿海地区以及靠近朝鲜半岛的地区发起攻击,涵盖了政府、驻华机构、外贸、新闻媒体等多个行业,其中与贸易有关的企业占比最多达到1/4,其次是政府机构、新闻媒体,大型国企、高等院校。在最近的VPN劫持攻击事件中,有多个中国驻外机构受到了攻击。

360高级威胁研究院究竟是如何顺着蛛丝马迹找出“黑店”隐匿三年的真相?无非是凭借敏锐的关联力与识别力。

 

黑暗森林里的狩猎者

这里有必要介绍一下360高级威胁研究院(以下简称为360 ATA),它是360政企安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究。曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露过40多起国家级APT组织的高级行动,安全能力在行业内是相当受认可的。

和大家简单回顾一下团队的成绩:

2017年10月,360 ATA率先发现Office高危漏洞(CVE-2017-11826),这是360代表中国安全厂商在业界披露的第一起APT组织0day在野攻击事件。该漏洞非常危险,打开恶意文档就会中招,可影响所有Office主流版本,且已被不法黑客恶意利用。当时,360紧急向微软报告了漏洞细节,同时为网民全面拦截利用该漏洞的攻击。

还是2018年,360 ATA又率先监测到一例使用0day漏洞的APT攻击,该攻击是全球首个使用浏览器0day漏洞的新型Office文档攻击,只要打开恶意文档就可能中招,被黑客植入后门木马甚至可以完全控制电脑。360 ATA第一时间向微软报告了漏洞细节,并将该漏洞命名为“双杀”漏洞。

再来看今年的成绩,就在今年1月微软宣布Windows 7系统停服前夕,360 ATA捕获到全球首例同时复合利用IE浏览器和火狐浏览器两个0day漏洞的攻击,并将其命名为“双星”0day漏洞攻击。在微软放弃了Win7系统更新,且未联合安全厂商继续支持安全防护的背景下,360迅速推出了Win7盾甲,帮助仍在使用Windows 7系统的用户拦截此漏洞攻击。

就在上个月,360 ATA还独家揭露了全新APT组织WellMess,并将其命名为“魔鼠”,单独编号为APT-C-42。目前,此APT组织的攻击能力、攻击时长、攻击威胁等特点已被360 ATA悉数掌握。

如果将网络安全世界比作危机四伏、荆棘密布的森林,360 ATA就是黑暗森林里的狩猎者。在360 ATA眼里,威胁越多越是狩猎者的天地,置身考验反应速度和战斗力的“斗兽场”,第一时间精准捕获“猎物”是360 ATA的一贯作风。

 

立于巨人肩膀

上面列举的只是一部分成绩,事实上360 ATA在挖掘0day漏洞和APT攻击方面可谓身经百战,不谦虚的地说,行业里能与之匹敌团队不多。

之所以能够让其他团队望尘莫及,一方面是360 ATA集合了全球顶尖的安全人才,这意味着牢牢攥住了全球领先的安全能力。让360 ATA赢在起跑线的另一大关键,是背后360集团在全球视野和安全理念上的加持。

面对网络世界的刀光剑影,网络安全道阻且长。

就拿此次揭露的Darkhotel(APT-C-06)为例,无疑将成为网安世界有序运行的又一大“阻碍”,小到企事单位,大到国家级关键部门极有可能成为其后门程序的攻击目标。可以预见的是,随着全球数字化转型的加速,高级持续性威胁(APT)已成为干系到政府、国防安全的重大威胁,这场第五空间的“战争”已经升维到了史无前例的高度。

在不乐观的国际网安环境之下,360提出 “统领全局的顶层设计和谋略”,以一套网络安全新理念和新框架帮助国家、政府和企业构建新一代安全能力体系,整体提升应对高级威胁攻击的安全能力。对360 ATA而言,则是站在巨人的肩膀上,充分利用着360在人才、数据、技术上的支持,才得以实现超然的战绩。

360 ATA的存在不是神话,但绝非运气,团队将持续监测Darkhotel组织的攻击活动。据悉,目前360威胁情报云、APT全景雷达等360全线安全产品也已支持对该组织的攻击检测。建议相关单位提高警惕,保护好关键网络基础设施的安全,同时对客户端做好安全漏洞补丁的更新,并定期进行病毒查杀。

本文由零日情报局原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/215430

安全客 - 有思想的安全新媒体

分享到:微信
+11赞
收藏
零日情报局
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66