​屋漏偏逢連夜雨，船遲又遇打頭風。
禍不單行！

【導讀】1月14日，微軟正式宣告Windows 7系統停止更新。此次停服，引爆全網危機，不僅順機突發全球首例複合0day漏洞——“雙星”漏洞，令國內超六成使用者曝光在其陰霾之下；更有別有用心者“趁勢追擊”，利用“雙星”發動猛攻。近期，作為全球首家捕獲該漏洞的狙擊者——360安全大腦繼續對其分析溯源，判定：“雙星”漏洞已被活躍近十餘年的半島APT組織Darkhotel(APT-C-06)所利用，並瞄準我國商貿相關的政府機構發動攻擊。針對此事，本文，不僅對事件進行了抽絲剝繭、逐層深入的分析，更首次獨家揭祕了該APT組織，陰險、刁滑、狡詐的攻擊手法。
　　
在開啟正文前，先向讀者交代下背景：

2020年1月14日，微軟正式宣告Windows 7系統停止更新。

在Win 7正式停服關鍵節點的首日，360安全大腦就在全球範圍內捕獲首例時利用IE瀏覽器和火狐瀏覽器兩個0day漏洞的複合攻擊，由於是全球首家捕獲到此次攻擊，360安全大腦將其命名為“雙星”0day漏洞攻擊，其編號分別是：CVE-2019-17026（火狐）和CVE-2020-0674（IE）。

“雙星”漏洞不僅影響了最新版本的火狐瀏覽器和IE瀏覽器及使用了相關瀏覽器核心的應用程式；值得警惕的是，該漏洞可致使使用者在毫無防備的情況下，就被植入勒索病毒，甚至被黑客監聽監控，執行竊取敏感資訊等任意操作，其威脅性可謂是史無前例。

然而，別有用心者仍在“趁勢之危”。近期，360安全大腦經分析溯源判定：“雙星”漏洞不僅已被活躍十餘年的半島APT組織Darkhotel(APT-C-06)所利用，更是針對我國商貿相關的政府機構發動主要攻擊。

又一起針對我國的APT攻擊,此次攻擊者是“何方妖孽”？

Darkhotel（APT-C-06），中文名為黑店。是一個有著東亞背景，長期針對企業高管、國防工業、電子工業等重要機構實施網路間諜攻擊活動的APT組織。其相關攻擊行動最早可以追溯到2007年。2014年11月，被卡巴斯基實驗室的安全專家首次發現。此後，360高階威脅團隊就對該團伙的活動一直保持著持續跟蹤。

2018年4月，360安全大腦就曾在全球範圍內，率先監測到了該組織使用0day漏洞進行APT攻擊。從其溯源分析報告來看，該APT組織瞄準中、俄、日、韓等國政府及組織機構或企業單位，尤其針對中國重點省份外貿企業單位和相關機構展開攻擊。

“一個經驗老道的慣犯”來形容Darkhotel APT組織一點不為過！長期被國家級APT組織盯上，本就如一顆隨時可爆發的炸彈，隨時面臨一國網路被癱瘓的風險。然而，這一次，Darkhotel APT組織還還攜“重磅利器”——“雙星”漏洞而來，於它簡直是“如虎添翼”；但於我國，簡直是惡魔夢魘的降世！

還記得WannaCry勒索病毒嗎？2017年5月12日，它利用Windows系統“永恆之藍”高危漏洞席捲全球，引爆網路世界的“生化危機”。以迅雷不及掩耳，橫掃150國家幾十萬臺計算機，不止政府機關、高校、醫院的電腦螢幕都被“染”成了紅色，能源、通訊、交通、製造等諸多關鍵資訊基礎設施也在這場風暴中，遭遇到前所未有的重創。

以至於，自那日起，它所帶來的恐懼就如不散的“陰魂”盤桓在人們的心中，久久不能散去；然而，與不斷加深恐懼相對應的是，其危害影響仍在持續。

2019年5月，也就是在WannaCry 爆發兩年之後，堪比“永恆之藍”的Bluekeep高危遠端漏洞高調來襲，一時間，全球400萬臺主機再次暴露在漏洞的暴風眼下，一旦該漏洞被黑客成功利用，世界將再次陷入不盡的黑暗。

單純利用Windows系統漏洞，就足以擁有了“毀天滅地”的力量，然而，作為IE瀏覽器和火狐瀏覽器兩個0day漏洞的“結合體”，“雙星”漏洞所蘊含的巨大威脅性、爆發力、破壞力不敢想，不敢想！

繼醫療機構、視訊監控系統被鎖定後,這一次的攻擊者瞄準的是誰？

然而，屋漏偏逢連夜雨，船遲又遇打頭風。

6天前的熱門推文，印度APT組織趁火打劫對我國醫療機構發起定向攻擊，還歷歷在目；

3天前的重磅警告，境外黑客組織又蠢蠢欲動，公然揚言欲對我國視訊監控系統痛下毒手，還縈繞在耳；

而今，半島APT組織Darkhotel又早已攜手“雙星”漏洞，對我國發動猛烈攻擊。在具體攻擊目標上，這一次，它再次瞄準與商貿相關的政府機構。

這一點非常好理解。“雙星”漏洞本就爆發於Win7停服之際，其攻擊之目標早已昭然若揭。而與此同時的關鍵是，當前我國的情況：

第一，國內超六成使用者曝光在“雙星”漏洞陰霾之下

直至2019年10月底，國內Windows7系統的市場份額佔比仍有近6成。Windows 7的終結，無疑意味著這些龐大的使用者失去了微軟官方的所有支援，包括軟體更新、補丁修復和防火牆保障，將直面各類利用漏洞等威脅進行的攻擊。蓄謀而來的“雙星”0day漏洞也不在Windows7的修復範圍內，所以，攻擊者完全可以憑藉該漏洞重擊所有使用Windows 7系統的計算機，並像野火一樣蔓延至整個網路，

第二，升級系統未納入採購清單，Win7仍是政府企事業單位主力

而另外一端，出於國家安全考量，我國政府至今未將Win 8、Win 10系統納入政府採購清單，也就是說，目前Win7仍被廣泛應用於政府企事業單位中。而隨著Win7的正式停服，這些單位的系統無疑在網路世界中裸奔。

所以，此次半島APT組織Darkhotel攜手“雙星”漏洞對商貿相關的我國政府機構發動攻擊，於它簡直是“如虎添翼”；但於我國，簡直是毀滅世界的惡魔！

第三，疫情大敵當前，醫療戰役與穩定國民經濟發展同重要

尤其，在當前我國傾一國之力，對抗疫情的當下，除了要打贏這場醫療疫情之戰，還要在這緊要關頭穩住國民經濟的發展。此時，半島APT組織Darkhotel對我國商貿領域下手，此舉不亞於印度APT組織，它不僅在趁火打劫！更是居心不良！

陰險、刁滑、狡詐六字揭祕，Darkhotel APT組織如何發動攻擊？

能利用“雙星”、雙瀏覽器0day漏洞，足見Darkhotel(APT-C-06)的攻擊技術早已驟然升級，然而，在對其攻擊流程和攻擊細節分析中，發現Darkhotel APT組織更是陰險、刁滑、狡詐的代名詞。

一．陰險！多種攻擊方式相組合複合式攻擊

從攻擊流程圖上來看，“雙星”0day漏洞的攻擊是：利用office漏洞文件、網頁掛馬和WPAD本地提權等多種攻擊方式，相組合進行的複雜組合攻擊。透過此，足見其攻擊路數之陰險！

二．刁滑！“自主”識別判斷並見機行事迫害

“雙星”漏洞是有“嗅覺”的，其網頁會判斷當前瀏覽器為IE還是Firefox，作業系統為32位還是64位；“雙星”漏洞還是“觸覺”的，在完成判定後，它還能根據不同的瀏覽器、不同作業系統載入相應的exploit攻擊程式碼。其“道行”，可謂是刁滑！

三．殺人於無形，配合office漏洞文件發動攻擊

攻擊者可以直接利用雙星漏洞進行網頁掛馬攻擊，有意思的是我們發現了一例Office漏洞文件觸發的雙星漏洞，是預設開啟IE瀏覽器進行攻擊。

在此案例中，初始攻擊使用了office公式編輯器漏洞（CVE-2017-11882），並根據目標精心製作了誘餌文件。

一旦使用者“上鉤”，執行漏洞文件、觸發漏洞，便會啟動公式編輯器，並利用公式編輯器程式開啟IE瀏覽器，進而訪問惡意網頁，最終觸發“雙星”漏洞。

如何避免被Darkhotel APT組織荼毒？，請“對症”領取“錦囊修復建議”

一面是國家級APT利用高危漏洞的攻擊，一面是Win7系統停服官方保護體系的缺失，政企使用者安全將何去何從？尤其是在這個特殊非常時期裡。針對此，智庫針對不同的瀏覽器漏洞、不同的作業系統提出了不同的應對措施：

第一， 針對火狐瀏覽器使用者：

由於目前，火狐瀏覽器已經發布了Firefox 72.0.1 and FirefoxESR 68.4.1，所以，火狐瀏覽器使用者及相關使用機構請儘快更新到最新版本。

第二， 針對Windows系統的使用者：

廣大政企使用者可聯絡360公司獲取360安全大腦Windows 7盾甲企業版。
聯絡方式如下：
聯絡人：趙文靜；
郵箱：zhaowenjing1@360.cn；
座機 ：(010) 5244 7992；
應急 ：yingji@360.cn；

360安全大腦Windows7盾甲企業版可一鍵管理全網終端，支援Windows全平臺已知漏洞的補丁修復，結合針對漏洞威脅全新推出的360微補丁功能，在面對“雙星”0day漏洞等突發性高危漏洞時，360微補丁可通過先行自動覆蓋漏洞，解決防護能力滯後問題，全天候守護PC安全。

正如原公安部第一研究所長嚴明在“面對Win7停服，我們如何應對”研討會上所說，對於廣大政企使用者來說，選擇360安全大腦Win7盾甲企業版等第三方服務，無疑是當前有效避免Win7停服安全威脅的策略之一。

第三， 其他應急措施：

限制對JScript.dll的訪問，可暫時規避該安全風險，但可能導致網站無法正常瀏覽。

對於32位系統，在管理命令提示符處輸入以下命令：
takeown/f %windir%\system32\jscript.dll
cacls%windir%\system32\jscript.dll /E /P everyone:N

對於64位系統，在管理命令提示符處輸入以下命令：
takeown/f %windir%\syswow64\jscript.dll
cacls%windir%\syswow64\jscript.dll /E /P everyone:N
takeown/f %windir%\system32\jscript.dll
cacls%windir%\system32\jscript.dll /E /P everyone:N

實施這些步驟可能會導致依賴jscript.dll的元件功能減少。為了得到完全保護，建議儘快安裝此更新。在安裝更新之前， 請還原緩解步驟以返回到完整狀態。

如何撤消臨時措施

對於32位系統，在管理命令提示符處輸入以下命令：
cacls%windir%\system32\jscript.dll /E /R everyone

對於64位系統，在管理命令提示符處輸入以下命令：
cacls%windir%\system32\jscript.dll /E /R everyone
cacls%windir%\syswow64\jscript.dll /E /R everyone

其他資料補充：

關於360高階威脅應對團隊(360 ATA Team)：
專注於APT攻擊、0day漏洞等高階威脅攻擊的應急響應團隊，團隊主要技術領域包括高階威脅沙盒、0day漏洞探針技術和基於大資料的高階威脅攻擊追蹤溯源。在全球範圍內率先發現捕獲了包括雙殺、噩夢公式、毒針等在內的數十個在野0day漏洞攻擊，獨家披露了多個針對中國的APT組織的高階行動，團隊多人上榜微軟TOP100白帽黑客榜，樹立了360在威脅情報、0day漏洞發現、防禦和處置領域的核心競爭力。

關於《Darkhotel（APT-C-06）使用“雙星”0Day漏洞（CVE-2019-17026、CVE-2020-0674）針對中國發起的APT攻擊分析》報告連結：
http://blogs.360.cn/post/apt-c-06_0day.html

本文為國際安全智庫作品 （微信公眾號：guoji-anquanzhiku）
如需轉載，請標註文章來源於：國際安全智庫