游走在黑暗森林里的“狩猎者”与“黑店”组织的十年斗法

2020-08-26 12:05:31
我要分享


微信扫码分享

看似平静的网络空间，实则暗潮汹涌，其中不乏无数勇立潮头的捍卫者，时刻守护着网络空间的安全。在此其中，一支安全团队脱颖而出——360高级威胁研究院（ATA）。

近期，360高级威胁研究院（ATA）又一次独家发现了APT组织Darkhotel（译名“黑店”）的新实锤，并登上ISC 2020大会，首次重磅发布了这次魔道斗法的全过程。

一边是游走在网络空间里的安全捍卫者，曾实力捕获全球约40个APT组织；一边是时刻企图肆虐网络的威胁制造者，曾连续针对我国各领域发起网络侵袭，此次再度掀起风云对话，战局走势不免引人关注。

追踪十年“黑店”

360 ATA再度披露惊天恶绩

首先，说起拥有着东亚背景APT组织Darkhotel，其相关攻击行动最早可以追溯到2007年。因为长期针对企业高管、政府机构、国防工业、电子工业等重要机构实施网络间谍攻击活动，其一系列的作恶行径让网络安全领域波澜迭起。

而在2014年11月，当这个专门将攻击目标锁定为企业高管的间谍组织开始浮出水面，其足迹早已遍布中国、朝鲜、日本、缅甸、俄罗斯等全球多国。

刀尖行走势必会百密一疏。随着Darkhotel露出马脚，360高级威胁研究院开始了对其的长期持续性追踪，一夕间，从所向披靡到被处处针对，Darkhotel似乎尝尽败绩。

· 2018年4月，360高级威胁研究院率先监测到Darkhotel组织瞄准中、俄、日、韩等国政府及组织机构或企业单位，尤其针对中国重点省份外贸企业单位和相关机构展开攻击；

· 今年2月，在Win 7停服之际，360高级威胁研究院全球首家捕获Darkhotel组织利用“双星”0day漏洞，瞄准我国商贸相关的政府机构发动攻击；

· 今年3月，360高级威胁研究院再次捕获到Darkhotel组织，劫持某VPN厂商下发恶意文件，锁定中国驻外机构、政府相关单位发动定向攻击。

交手数次，360高级威胁研究院发现老对头Darkhotel组织近年攻击行动越发频繁和“肆无忌惮”，其中已知的行为就包括W行动、Darkhotel、Erebus、Daybreak、Thinmon等。不仅如此，该组织使用的恶意代码极为复杂，漏洞武器库也极其充实，囊括双杀0day、双星0day等在内。

就在今年3月的这次攻击中，360高级威胁研究院利用360安全大脑发现DarkHotel使用了一个从未被披露过的全新后门框架，并根据该攻击组件的文件名将其命名为“Thinmon”后门框架。

继续深挖之下，这个神秘的全新后门框架实际上掩盖着另一个惊天秘密——自2017年起，Darkhotel利用这一框架，对我国实施了长达三年的持续性攻击。

360 ATA独家披露全新秘密武器

Thinmon究竟是何方神圣？

“后门程序”如同“开天窗”的管理员身份。Thinmon这一后门程序其中不乏屏幕截图、文件窃取、键盘记录、远程监控等功能，且其插件在计算机中皆以二进制加密的形式存放在临时目录，只有在需要被加载启动时，调度模块才会对其解密并加载。

可以说，Thinmon是黑客组织长期潜伏渗透，进行情报窃取的绝佳间谍手段。

利用这款秘密武器，黑店针对我国东部沿海地区以及靠近朝鲜半岛的地区发起攻击，涵盖了政府、驻华机构、外贸、新闻媒体等多个行业，其中与贸易有关的企业占比最多达到1/4，其次是政府机构、新闻媒体，大型国企、高等院校。在最近的VPN劫持攻击事件中，有多个中国驻外机构受到了攻击。

360高级威胁研究院究竟是如何顺着蛛丝马迹找出“黑店”隐匿三年的真相？无非是凭借敏锐的关联力与识别力。

黑暗森林里的狩猎者

360 ATA身经百战

这里有必要介绍一下360高级威胁研究院（以下简称为360 ATA），它是360政企安全集团的核心能力支持部门，由360资深安全专家组成，专注于高级威胁的发现、防御、处置和研究。曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击，独家披露过40多起国家级APT组织的高级行动，安全能力在行业内是相当受认可的。

和大家简单回顾一下团队的成绩：

2017年10月，360 ATA率先发现Office高危漏洞(CVE-2017-11826)，这是360代表中国安全厂商在业界披露的第一起APT组织0day在野攻击事件。该漏洞非常危险，打开恶意文档就会中招，可影响所有Office主流版本，且已被不法黑客恶意利用。当时，360紧急向微软报告了漏洞细节，同时为网民全面拦截利用该漏洞的攻击。

还是2018年，360 ATA又率先监测到一例使用0day漏洞的APT攻击，该攻击是全球首个使用浏览器0day漏洞的新型Office文档攻击，只要打开恶意文档就可能中招，被黑客植入后门木马甚至可以完全控制电脑。360 ATA第一时间向微软报告了漏洞细节，并将该漏洞命名为“双杀”漏洞。

再来看今年的成绩，就在今年1月微软宣布Windows 7系统停服前夕，360 ATA捕获到全球首例同时复合利用IE浏览器和火狐浏览器两个0day漏洞的攻击，并将其命名为“双星”0day漏洞攻击。在微软放弃了Win7系统更新，且未联合安全厂商继续支持安全防护的背景下，360迅速推出了Win7盾甲，帮助仍在使用Windows 7系统的用户拦截此漏洞攻击。

就在上个月，360 ATA还独家揭露了全新APT组织WellMess，并将其命名为“魔鼠”，单独编号为APT-C-42。目前，此APT组织的攻击能力、攻击时长、攻击威胁等特点已被360 ATA悉数掌握。

如果将网络安全世界比作危机四伏、荆棘密布的森林，360 ATA就是黑暗森林里的狩猎者。在360 ATA眼里，威胁越多越是狩猎者的天地，置身考验反应速度和战斗力的“斗兽场”，第一时间精准捕获“猎物”是360 ATA的一贯作风。

立于巨人肩膀

360 ATA不是神话但绝非运气

上面列举的只是一部分成绩，事实上360 ATA在挖掘0day漏洞和APT攻击方面可谓身经百战，不谦虚的地说，行业里能与之匹敌团队不多。

之所以能够让其他团队望尘莫及，一方面是360 ATA集合了全球顶尖的安全人才，这意味着牢牢攥住了全球领先的安全能力。让360 ATA赢在起跑线的另一大关键，是背后360集团在全球视野和安全理念上的加持。

面对网络世界的刀光剑影，网络安全道阻且长。

就拿此次揭露的Darkhotel（APT-C-06）为例，无疑将成为网安世界有序运行的又一大“阻碍”，小到企事单位，大到国家级关键部门极有可能成为其后门程序的攻击目标。可以预见的是，随着全球数字化转型的加速，高级持续性威胁（APT）已成为干系到政府、国防安全的重大威胁，这场第五空间的“战争”已经升维到了史无前例的高度。

在不乐观的国际网安环境之下，360提出“统领全局的顶层设计和谋略”，以一套网络安全新理念和新框架帮助国家、政府和企业构建新一代安全能力体系，整体提升应对高级威胁攻击的安全能力。对360 ATA而言，则是站在巨人的肩膀上，充分利用着360在人才、数据、技术上的支持，才得以实现超然的战绩。

360 ATA的存在不是神话，但绝非运气，团队将持续监测Darkhotel组织的攻击活动。据悉，目前360威胁情报云、APT全景雷达等360全线安全产品也已支持对该组织的攻击检测。建议相关单位提高警惕，保护好关键网络基础设施的安全，同时对客户端做好安全漏洞补丁的更新，并定期进行病毒查杀。

游走在黑暗森林里的“狩猎者”与“黑店”组织的十年斗法

热点排行

关注我们