果不其然,通过对这全新且神秘的后门框架的追踪,360安全大脑发现:
从2017年起,Darkhotel就利用该后门框架,对我国实施了长达三年时间的一系列APT攻击活动,以下为该组织的攻击情况:
- 攻击意图:主要在于长期监控和窃取机密文件;
- 攻击用户:主要分布在我国东部沿海地区以及靠近朝鲜半岛的地区,这些地区拥有与朝鲜半岛来往距离优势,进而也成为中招用户的主要地区;
- 攻击行业:涵盖了政府、驻华机构、外贸、新闻媒体等多个行业,其中与贸易有关的企业占比最多达到1/4,其次是政府机构、新闻媒体,大型国企、高等院校。在最近的VPN劫持攻击事件中,有多个中国驻外机构受到了攻击。
追本溯源——“验明正身”
证实Thinmon与Darkhotel组织关系
正所谓,凡是攻击,必会留下痕迹,对于Thinmon后门框架同样适用。在如何证明Thinmon后门框架与Darkhotel组织隶属关系时,在此次报告中,360安全大脑也给予了证实:
证实1:算法十分相似
Thinmon后门框架的此次攻击与2018年初“双杀”漏相关披露中的算法存在十分相似,都是通过一个64字节的异或表对加密字符串循环异或;
证实2:插件存在关联 本次攻击组件thinmon和早期版本的lucker插件存在关联;
如下图展示的是thinmon和lucker的插件代码的静态分析关联,代码在字符串解密和加载过程中存在相似。
下图则是thinmon和lucker的插件内存数据和代码关联,左图是内存代码,右图是静态分析代码。可以看出Darkhotel组织长期关注各种文档、邮件、CAD工程图等文件,进行窃取,其中还包括韩语系办公软件hwp。
证实3:导出名存在关联除此之外,Thinmon的此次攻击和后期Ramsay组件的导出名也存在关联。
技战术——深度解密
Thinmon攻击行为可谓“花样百出”
随着360安全大脑对Thinmon的进一步分析窥探,其攻击招式更是“花样百出”。
从技战术角度分析,主要分为水坑攻击和漏洞攻击两种,攻击的后门程序按功能以插件形式释放和调度。
Part1. “层出不穷”的漏洞攻击漏洞无处不在,Thinmon同样利用漏洞作为攻击之突破口。
在利用软件平台的总控服务器漏洞下,发执行远程命令,下发木马后门程序,进一步控制主机。招数一:利用安全软件升级漏洞2018年上半年,该组织通过入侵某单位的安全软件总控服务器,下发伪装成补丁的木马文件。在持续控制一年后,该组织不间断地针对该单位的终端下发伪装成软件升级包的后门程序。
无独有偶,2018年下半年该组织攻击某单位的另一款安全软件总控服务器后,是通过下发命令执行恶意脚本实施攻击,该恶意脚本通过远程服务器下载payload和相关插件。
招数二:利用OA软件升级漏洞
近年来,某OA软件多次被爆出安全漏洞,2017年该组织利用某OA软件漏洞对相关单位进行攻击,攻击者通过OA主控服务器下发执行命令,在计算机上下发命令执行tmp后缀的JS恶意脚本,通过一系列解密、释放动作安装后门程序。
招数三:利用VPN软件升级漏洞2020年初,该组织利用某VPN软件的升级漏洞再次发起攻击,攻击者事先通过漏洞拿下了VPN服务器,然后将服务端的VPN客户端升级组件替换为后门程序,并更改了服务端升级配置文件,使用户在启动VPN客户端时会重新下载伪装成升级程序的后门程序,后门程序会从远程服务器下载执行shellcode,最终释放各种不同功能的攻击组件。
Part2. “守株待兔”的水坑攻击“水坑攻击”一词来源于自然界,掠食者潜伏在水坑附近,等待他们想要的猎物。而网络世界亦是有“守株待兔”之意。在360安全大脑公布的报告中,对捕获的一例典型的水坑攻击进行分析。被攻击者访问韩国某色情网站,并下载带有木马的QuickTime安装包后中招。
该安装包在安装完成后,会将恶意样本(Loader)释放在%appdata%目录并启动,最终加载载荷模块。
基于对Thinmon技战术的分析,从利用安全软件升级漏洞到利用OA系统升级漏洞再到利用“炙手可热”的VPN软件升级漏洞。
不得不说Darkhotel“黑店”组织“推陈出新”速度之快,紧随时代触角之敏锐,堪称一绝。
而神秘又强大的“黑店”攻击组织,利用Thinmon后门框架展开攻击活动之背后,安全威胁也远远不止于此。Part3. 后门核心组件使用开源项目值得注意的是,在此次报告研究中,360安全大脑解密到,其中一个后门组件的远控模块使用了开源项目Meterpreter的核心组件metsrv.dll,其结构如下:
Shellcode
有了强大开源软件Meterpreter的加持,Thinmon攻击可轻易实现绕过杀软,进而肆意在内网中渗透测试的目的,这无疑在内网中又预埋颗一颗非定时炸弹,敌已在我的潜伏渗透,令攻防两端的不对称性急剧加大,易攻难防的态势愈发凸显。 智 库 时 评 网络世界的攻击手法“流光溢彩”,对抗的道路仍任重道远。