看似平靜的網絡空間，實則暗潮洶湧，其中不乏無數勇立潮頭的捍衛者，時刻守護着網絡空間的安全。在此其中，一支安全團隊脫穎而出——360高級威脅研究院（ATA）。

近期，360高級威脅研究院（ATA）又一次獨家發現了APT組織Darkhotel（譯名“黑店”）的新實錘，并登上ISC 2020大會，首次重磅發布了這次魔道鬥法的全過程。

一邊是遊走在網絡空間裡的安全捍衛者，曾實力捕獲全球約40個APT組織；一邊是時刻企圖肆虐網絡的威脅制造者，曾連續針對我國各領域發起網絡侵襲，此次再度掀起風雲對話，戰局走勢不免引人關注。

追蹤十年“黑店”

360 ATA再度披露驚天惡績

首先，說起擁有着東亞背景APT組織Darkhotel，其相關攻擊行動最早可以追溯到2007年。因為長期針對企業高管、政府機構、國防工業、電子工業等重要機構實施網絡間諜攻擊活動，其一系列的作惡行徑讓網絡安全領域波瀾叠起。

而在2014年11月，當這個專門将攻擊目标鎖定為企業高管的間諜組織開始浮出水面，其足迹早已遍布中國、朝鮮、日本、緬甸、俄羅斯等全球多國。

刀尖行走勢必會百密一疏。随着Darkhotel露出馬腳，360高級威脅研究院開始了對其的長期持續性追蹤，一夕間，從所向披靡到被處處針對，Darkhotel似乎嘗盡敗績。

l 2018年4月，360高級威脅研究院率先監測到Darkhotel組織瞄準中、俄、日、韓等國政府及組織機構或企業單位，尤其針對中國重點省份外貿企業單位和相關機構展開攻擊；

l 今年2月，在Win 7停服之際，360高級威脅研究院全球首家捕獲Darkhotel組織利用“雙星”0day漏洞，瞄準我國商貿相關的政府機構發動攻擊；

l 今年3月，360高級威脅研究院再次捕獲到Darkhotel組織，劫持某VPN廠商下發惡意文件，鎖定中國駐外機構、政府相關單位發動定向攻擊。

交手數次，360高級威脅研究院發現老對頭Darkhotel組織近年攻擊行動越發頻繁和“肆無忌憚”，其中已知的行為就包括W行動、Darkhotel、Erebus、Daybreak、Thinmon等。不僅如此，該組織使用的惡意代碼極為複雜，漏洞武器庫也極其充實，囊括雙殺0day、雙星0day等在内。

就在今年3月的這次攻擊中，360高級威脅研究院利用360安全大腦發現DarkHotel使用了一個從未被披露過的全新後門框架，并根據該攻擊組件的文件名将其命名為“Thinmon”後門框架。

繼續深挖之下，這個神秘的全新後門框架實際上掩蓋着另一個驚天秘密——自2017年起，Darkhotel利用這一框架，對我國實施了長達三年的持續性攻擊。

360 ATA獨家披露全新秘密武器

Thinmon究竟是何方神聖？

“後門程序”，如同“開天窗”的管理員身份。Thinmon這一後門程序其中不乏屏幕截圖、文件竊取、鍵盤記錄、遠程監控等功能，且其插件在計算機中皆以二進制加密的形式存放在臨時目錄，隻有在需要被加載啟動時，調度模塊才會對其解密并加載。

可以說，Thinmon是黑客組織長期潛伏滲透，進行情報竊取的絕佳間諜手段。

利用這款秘密武器，黑店針對我國東部沿海地區以及靠近朝鮮半島的地區發起攻擊，涵蓋了政府、駐華機構、外貿、新聞媒體等多個行業，其中與貿易有關的企業占比最多達到1/4，其次是政府機構、新聞媒體，大型國企、高等院校。在最近的VPN劫持攻擊事件中，有多個中國駐外機構受到了攻擊。

360高級威脅研究院究竟是如何順着蛛絲馬迹找出“黑店”隐匿三年的真相？無非是憑借敏銳的關聯力與識别力。

黑暗森林裡的狩獵者

360 ATA身經百戰

這裡有必要介紹一下360高級威脅研究院（以下簡稱為360ATA），它是360政企安全集團的核心能力支持部門，由360資深安全專家組成，專注于高級威脅的發現、防禦、處置和研究。曾在全球範圍内率先捕獲雙殺、雙星、噩夢公式等多起業界知名的0day在野攻擊，獨家披露過40多起國家級APT組織的高級行動，安全能力在行業内是相當受認可的。

和大家簡單回顧一下團隊的成績：

2017年10月，360ATA率先發現Office高危漏洞(CVE-2017-11826)，這是360代表中國安全廠商在業界披露的第一起APT組織0day在野攻擊事件。該漏洞非常危險，打開惡意文檔就會中招，可影響所有Office主流版本，且已被不法黑客惡意利用。當時，360緊急向微軟報告了漏洞細節，同時為網民全面攔截利用該漏洞的攻擊。

還是2018年，360ATA又率先監測到一例使用0day漏洞的APT攻擊，該攻擊是全球首個使用浏覽器0day漏洞的新型Office文檔攻擊，隻要打開惡意文檔就可能中招，被黑客植入後門木馬甚至可以完全控制電腦。360ATA第一時間向微軟報告了漏洞細節，并将該漏洞命名為“雙殺”漏洞。

再來看今年的成績，就在今年1月微軟宣布Windows 7系統停服前夕，360ATA捕獲到全球首例同時複合利用IE浏覽器和火狐浏覽器兩個0day漏洞的攻擊，并将其命名為“雙星”0day漏洞攻擊。在微軟放棄了Win7系統更新，且未聯合安全廠商繼續支持安全防護的背景下，360迅速推出了Win7盾甲，幫助仍在使用Windows 7系統的用戶攔截此漏洞攻擊。

就在上個月，360 ATA還獨家揭露了全新APT組織WellMess，并将其命名為“魔鼠”，單獨編号為APT-C-42。目前，此APT組織的攻擊能力、攻擊時長、攻擊威脅等特點已被360 ATA悉數掌握。

如果将網絡安全世界比作危機四伏、荊棘密布的森林，360 ATA就是黑暗森林裡的狩獵者。在360 ATA眼裡，威脅越多越是狩獵者的天地，置身考驗反應速度和戰鬥力的“鬥獸場”，第一時間精準捕獲“獵物”是360 ATA的一貫作風。

立于巨人肩膀

360 ATA不是神話但絕非運氣

上面列舉的隻是一部分成績，事實上360 ATA在挖掘0day漏洞和APT攻擊方面可謂身經百戰，不謙虛的地說，行業裡能與之匹敵團隊不多。

之所以能夠讓其他團隊望塵莫及，一方面是360 ATA集合了全球頂尖的安全人才，這意味着牢牢攥住了全球領先的安全能力。讓360 ATA赢在起跑線的另一大關鍵，是背後360集團在全球視野和安全理念上的加持。

面對網絡世界的刀光劍影，網絡安全道阻且長。

就拿此次揭露的Darkhotel（APT-C-06）為例，無疑将成為網安世界有序運行的又一大“阻礙”，小到企事單位，大到國家級關鍵部門極有可能成為其後門程序的攻擊目标。可以預見的是，随着全球數字化轉型的加速，高級持續性威脅（APT）已成為幹系到政府、國防安全的重大威脅，這場第五空間的“戰争”已經升維到了史無前例的高度。

在不樂觀的國際網安環境之下，360提出“統領全局的頂層設計和謀略”，以一套網絡安全新理念和新框架幫助國家、政府和企業構建新一代安全能力體系，整體提升應對高級威脅攻擊的安全能力。對360 ATA而言，則是站在巨人的肩膀上，充分利用着360在人才、數據、技術上的支持，才得以實現超然的戰績。

360 ATA的存在不是神話，但絕非運氣，團隊将持續監測Darkhotel組織的攻擊活動。據悉，目前360威脅情報雲、APT全景雷達等360全線安全産品也已支持對該組織的攻擊檢測。建議相關單位提高警惕，保護好關鍵網絡基礎設施的安全，同時對客戶端做好安全漏洞補丁的更新，并定期進行病毒查殺。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!