游走在黑暗森林里的“狩猎者”与“黑店”组织的十年斗法安全资讯

看似平静的网络空间，实则暗潮汹涌，其中不乏无数勇立潮头的捍卫者，时刻守护着网络空间的安全。在此其中，一支安全团队脱颖而出——360高级威胁研究院（ATA）。

近期，360高级威胁研究院（ATA）又一次独家发现了APT组织Darkhotel（译名“黑店”）的新实锤，并登上ISC2020大会，首次重磅发布了这次魔道斗法的全过程。

追踪十年“黑店”

360ATA再度披露惊天恶绩

而在2014年11月，当这个专门将攻击目标锁定为企业高管的间谍组织开始浮出水面，其足迹早已遍布中国、朝鲜、日本、缅甸、俄罗斯等全球多国。

刀尖行走势必会百密一疏。随着Darkhotel露出马脚，360高级威胁研究院开始了对其的长期持续性追踪，一夕间，从所向披靡到被处处针对，Darkhotel似乎尝尽败绩。

交手数次，360高级威胁研究院发现老对头Darkhotel组织近年攻击行动越发频繁和“肆无忌惮”，其中已知的行为就包括W行动、Darkhotel、Erebus、Daybreak、Thinmon等。不仅如此，该组织使用的恶意代码极为复杂，漏洞武器库也极其充实，囊括双杀0day、双星0day等在内。

就在今年3月的这次攻击中，360高级威胁研究院利用360安全大脑发现DarkHotel使用了一个从未被披露过的全新后门框架，并根据该攻击组件的文件名将其命名为“Thinmon”后门框架。

继续深挖之下，这个神秘的全新后门框架实际上掩盖着另一个惊天秘密——自2017年起，Darkhotel利用这一框架，对我国实施了长达三年的持续性攻击。

360ATA独家披露全新秘密武器

Thinmon究竟是何方神圣？

“后门程序”如同“开天窗”的管理员身份。Thinmon这一后门程序其中不乏屏幕截图、文件窃取、键盘记录、远程监控等功能，且其插件在计算机中皆以二进制加密的形式存放在临时目录，只有在需要被加载启动时，调度模块才会对其解密并加载。

可以说，Thinmon是黑客组织长期潜伏渗透，进行情报窃取的绝佳间谍手段。

利用这款秘密武器，黑店针对我国东部沿海地区以及靠近朝鲜半岛的地区发起攻击，涵盖了政府、驻华机构、外贸、新闻媒体等多个行业，其中与贸易有关的企业占比最多达到1/4，其次是政府机构、新闻媒体，大型国企、高等院校。在最近的VPN劫持攻击事件中，有多个中国驻外机构受到了攻击。

360高级威胁研究院究竟是如何顺着蛛丝马迹找出“黑店”隐匿三年的真相？无非是凭借敏锐的关联力与识别力。

黑暗森林里的狩猎者

360ATA身经百战

这里有必要介绍一下360高级威胁研究院（以下简称为360ATA），它是360政企安全集团的核心能力支持部门，由360资深安全专家组成，专注于高级威胁的发现、防御、处置和研究。曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击，独家披露过40多起国家级APT组织的高级行动，安全能力在行业内是相当受认可的。

和大家简单回顾一下团队的成绩：

2017年10月，360ATA率先发现Office高危漏洞(CVE-2017-11826)，这是360代表中国安全厂商在业界披露的第一起APT组织0day在野攻击事件。该漏洞非常危险，打开恶意文档就会中招，可影响所有Office主流版本，且已被不法黑客恶意利用。当时，360紧急向微软报告了漏洞细节，同时为网民全面拦截利用该漏洞的攻击。

再来看今年的成绩，就在今年1月微软宣布Windows7系统停服前夕，360ATA捕获到全球首例同时复合利用IE浏览器和火狐浏览器两个0day漏洞的攻击，并将其命名为“双星”0day漏洞攻击。在微软放弃了Win7系统更新，且未联合安全厂商继续支持安全防护的背景下，360迅速推出了Win7盾甲，帮助仍在使用Windows7系统的用户拦截此漏洞攻击。

就在上个月，360ATA还独家揭露了全新APT组织WellMess，并将其命名为“魔鼠”，单独编号为APT-C-42。目前，此APT组织的攻击能力、攻击时长、攻击威胁等特点已被360ATA悉数掌握。

立于巨人肩膀

360ATA不是神话但绝非运气

上面列举的只是一部分成绩，事实上360ATA在挖掘0day漏洞和APT攻击方面可谓身经百战，不谦虚的地说，行业里能与之匹敌团队不多。

之所以能够让其他团队望尘莫及，一方面是360ATA集合了全球顶尖的安全人才，这意味着牢牢攥住了全球领先的安全能力。让360ATA赢在起跑线的另一大关键，是背后360集团在全球视野和安全理念上的加持。

面对网络世界的刀光剑影，网络安全道阻且长。

就拿此次揭露的Darkhotel（APT-C-06）为例，无疑将成为网安世界有序运行的又一大“阻碍”，小到企事单位，大到国家级关键部门极有可能成为其后门程序的攻击目标。可以预见的是，随着全球数字化转型的加速，高级持续性威胁（APT）已成为干系到政府、国防安全的重大威胁，这场第五空间的“战争”已经升维到了史无前例的高度。

在不乐观的国际网安环境之下，360提出“统领全局的顶层设计和谋略”，以一套网络安全新理念和新框架帮助国家、政府和企业构建新一代安全能力体系，整体提升应对高级威胁攻击的安全能力。对360ATA而言，则是站在巨人的肩膀上，充分利用着360在人才、数据、技术上的支持，才得以实现超然的战绩。