windows系统|游走在黑暗森林里的“狩猎者”与“黑店”组织的十年斗法 |

看似平静的网络空间，实则暗潮汹涌，其中不乏无数勇立潮头的捍卫者，时刻守护着网络空间的安全。在此其中，一支安全团队脱颖而出——360高级威胁研究院(ATA) 。
近期， 360高级威胁研究院(ATA)又一次独家发现了APT组织Darkhotel(译名“黑店”)的新实锤，并登上ISC 2020大会，首次重磅发布了这次魔道斗法的全过程。
一边是游走在网络空间里的安全捍卫者，曾实力捕获全球约40个APT组织；一边是时刻企图肆虐网络的威胁制造者，曾连续针对我国各领域发起网络侵袭，此次再度掀起风云对话，战局走势不免引人关注。
追踪十年“黑店”
【windows系统|游走在黑暗森林里的“狩猎者”与“黑店”组织的十年斗法】360 ATA再度披露惊天恶绩
首先，说起拥有着东亚背景APT组织Darkhotel ，其相关攻击行动最早可以追溯到2007年。因为长期针对企业高管、政府机构、国防工业、电子工业等重要机构实施网络间谍攻击活动，其一系列的作恶行径让网络安全领域波澜迭起。
而在2014年11月，当这个专门将攻击目标锁定为企业高管的间谍组织开始浮出水面，其足迹早已遍布中国、朝鲜、日本、缅甸、俄罗斯等全球多国。
刀尖行走势必会百密一疏。随着Darkhotel露出马脚， 360高级威胁研究院开始了对其的长期持续性追踪，一夕间，从所向披靡到被处处针对， Darkhotel似乎尝尽败绩。
l 2018年4月， 360高级威胁研究院率先监测到Darkhotel组织瞄准中、俄、日、韩等国政府及组织机构或企业单位，尤其针对中国重点省份外贸企业单位和相关机构展开攻击；
l 今年2月，在Win 7停服之际， 360高级威胁研究院全球首家捕获Darkhotel组织利用“双星”0day漏洞，瞄准我国商贸相关的政府机构发动攻击；
l 今年3月， 360高级威胁研究院再次捕获到Darkhotel组织，劫持某VPN厂商下发恶意文件，锁定中国驻外机构、政府相关单位发动定向攻击。
交手数次， 360高级威胁研究院发现老对头Darkhotel组织近年攻击行动越发频繁和“肆无忌惮” ，其中已知的行为就包括W行动、Darkhotel、Erebus、Daybreak、Thinmon等。不仅如此，该组织使用的恶意代码极为复杂，漏洞武器库也极其充实，囊括双杀0day、双星0day等在内。

本文插图
就在今年3月的这次攻击中， 360高级威胁研究院利用360安全大脑发现DarkHotel使用了一个从未被披露过的全新后门框架，并根据该攻击组件的文件名将其命名为“Thinmon”后门框架。
继续深挖之下，这个神秘的全新后门框架实际上掩盖着另一个惊天秘密——自2017年起， Darkhotel利用这一框架，对我国实施了长达三年的持续性攻击。
360 ATA独家披露全新秘密武器
Thinmon究竟是何方神圣？
“后门程序” ，如同“开天窗”的管理员身份。 Thinmon这一后门程序其中不乏屏幕截图、文件窃取、键盘记录、远程监控等功能，且其插件在计算机中皆以二进制加密的形式存放在临时目录，只有在需要被加载启动时，调度模块才会对其解密并加载。

本文插图

本文插图
可以说， Thinmon是黑客组织长期潜伏渗透，进行情报窃取的绝佳间谍手段。
利用这款秘密武器，黑店针对我国东部沿海地区以及靠近朝鲜半岛的地区发起攻击，涵盖了政府、驻华机构、外贸、新闻媒体等多个行业，其中与贸易有关的企业占比最多达到1/4 ，其次是政府机构、新闻媒体，大型国企、高等院校。在最近的VPN劫持攻击事件中，有多个中国驻外机构受到了攻击。分页标题
360高级威胁研究院究竟是如何顺着蛛丝马迹找出“黑店”隐匿三年的真相？无非是凭借敏锐的关联力与识别力。
黑暗森林里的狩猎者
360 ATA身经百战
这里有必要介绍一下360高级威胁研究院(以下简称为360ATA) ，它是360政企安全集团的核心能力支持部门，由360资深安全专家组成，专注于高级威胁的发现、防御、处置和研究。曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击，独家披露过40多起国家级APT组织的高级行动，安全能力在行业内是相当受认可的。
和大家简单回顾一下团队的成绩：
2017年10月， 360ATA率先发现Office高危漏洞(CVE-2017-11826) ，这是360代表中国安全厂商在业界披露的第一起APT组织0day在野攻击事件。该漏洞非常危险，打开恶意文档就会中招，可影响所有Office主流版本，且已被不法黑客恶意利用。当时， 360紧急向微软报告了漏洞细节，同时为网民全面拦截利用该漏洞的攻击。
还是2018年， 360ATA又率先监测到一例使用0day漏洞的APT攻击，该攻击是全球首个使用浏览器0day漏洞的新型Office文档攻击，只要打开恶意文档就可能中招，被黑客植入后门木马甚至可以完全控制电脑。 360ATA第一时间向微软报告了漏洞细节，并将该漏洞命名为“双杀”漏洞。
再来看今年的成绩，就在今年1月微软宣布Windows 7系统停服前夕， 360ATA捕获到全球首例同时复合利用IE浏览器和火狐浏览器两个0day漏洞的攻击，并将其命名为“双星”0day漏洞攻击。在微软放弃了Win7系统更新，且未联合安全厂商继续支持安全防护的背景下， 360迅速推出了Win7盾甲，帮助仍在使用Windows 7系统的用户拦截此漏洞攻击。
就在上个月， 360 ATA还独家揭露了全新APT组织WellMess ，并将其命名为“魔鼠” ，单独编号为APT-C-42 。目前，此APT组织的攻击能力、攻击时长、攻击威胁等特点已被360 ATA悉数掌握。
如果将网络安全世界比作危机四伏、荆棘密布的森林， 360 ATA就是黑暗森林里的狩猎者。在360 ATA眼里，威胁越多越是狩猎者的天地，置身考验反应速度和战斗力的“斗兽场” ，第一时间精准捕获“猎物”是360 ATA的一贯作风。
立于巨人肩膀
360 ATA不是神话但绝非运气
上面列举的只是一部分成绩，事实上360 ATA在挖掘0day漏洞和APT攻击方面可谓身经百战，不谦虚的地说，行业里能与之匹敌团队不多。
之所以能够让其他团队望尘莫及，一方面是360 ATA集合了全球顶尖的安全人才，这意味着牢牢攥住了全球领先的安全能力。让360 ATA赢在起跑线的另一大关键，是背后360集团在全球视野和安全理念上的加持。
面对网络世界的刀光剑影，网络安全道阻且长。
就拿此次揭露的Darkhotel(APT-C-06)为例，无疑将成为网安世界有序运行的又一大“阻碍” ，小到企事单位，大到国家级关键部门极有可能成为其后门程序的攻击目标。可以预见的是，随着全球数字化转型的加速，高级持续性威胁(APT)已成为干系到政府、国防安全的重大威胁，这场第五空间的“战争”已经升维到了史无前例的高度。
在不乐观的国际网安环境之下， 360提出“统领全局的顶层设计和谋略” ，以一套网络安全新理念和新框架帮助国家、政府和企业构建新一代安全能力体系，整体提升应对高级威胁攻击的安全能力。对360 ATA而言，则是站在巨人的肩膀上，充分利用着360在人才、数据、技术上的支持，才得以实现超然的战绩。
360 ATA的存在不是神话，但绝非运气，团队将持续监测Darkhotel组织的攻击活动。据悉，目前360威胁情报云、APT全景雷达等360全线安全产品也已支持对该组织的攻击检测。建议相关单位提高警惕，保护好关键网络基础设施的安全，同时对客户端做好安全漏洞补丁的更新，并定期进行病毒查杀。分页标题

本文插图