再揭祕一場陰謀!半島APT“趁勢之危”對我國商貿相關政府機構發動攻擊!陰險狡詐!

國際安全智庫發表於2020-02-14

​屋漏偏逢連夜雨,船遲又遇打頭風。
禍不單行!

 

【導讀】1月14日,微軟正式宣告Windows 7系統停止更新。此次停服,引爆全網危機,不僅順機突發全球首例複合0day漏洞——“雙星”漏洞,令國內超六成使用者曝光在其陰霾之下;更有別有用心者“趁勢追擊”,利用“雙星”發動猛攻。近期,作為全球首家捕獲該漏洞的狙擊者——360安全大腦繼續對其分析溯源,判定:“雙星”漏洞已被活躍近十餘年的半島APT組織Darkhotel(APT-C-06)所利用,並瞄準我國商貿相關的政府機構發動攻擊。針對此事,本文,不僅對事件進行了抽絲剝繭、逐層深入的分析,更首次獨家揭祕了該APT組織,陰險、刁滑、狡詐的攻擊手法。
  
在開啟正文前,先向讀者交代下背景:

 

2020年1月14日,微軟正式宣告Windows 7系統停止更新。

 

在Win 7正式停服關鍵節點的首日,360安全大腦就在全球範圍內捕獲首例時利用IE瀏覽器和火狐瀏覽器兩個0day漏洞的複合攻擊,由於是全球首家捕獲到此次攻擊,360安全大腦將其命名為“雙星”0day漏洞攻擊,其編號分別是:CVE-2019-17026(火狐)和CVE-2020-0674(IE)。

 

“雙星”漏洞不僅影響了最新版本的火狐瀏覽器和IE瀏覽器及使用了相關瀏覽器核心的應用程式;值得警惕的是,該漏洞可致使使用者在毫無防備的情況下,就被植入勒索病毒,甚至被黑客監聽監控,執行竊取敏感資訊等任意操作,其威脅性可謂是史無前例。

 

然而,別有用心者仍在“趁勢之危”。近期,360安全大腦經分析溯源判定:“雙星”漏洞不僅已被活躍十餘年的半島APT組織Darkhotel(APT-C-06)所利用,更是針對我國商貿相關的政府機構發動主要攻擊。

又一起針對我國的APT攻擊,此次攻擊者是“何方妖孽”?

Darkhotel(APT-C-06),中文名為黑店。是一個有著東亞背景,長期針對企業高管、國防工業、電子工業等重要機構實施網路間諜攻擊活動的APT組織。其相關攻擊行動最早可以追溯到2007年。2014年11月,被卡巴斯基實驗室的安全專家首次發現。此後,360高階威脅團隊就對該團伙的活動一直保持著持續跟蹤。

 

2018年4月,360安全大腦就曾在全球範圍內,率先監測到了該組織使用0day漏洞進行APT攻擊。從其溯源分析報告來看,該APT組織瞄準中、俄、日、韓等國政府及組織機構或企業單位,尤其針對中國重點省份外貿企業單位和相關機構展開攻擊。

 

“一個經驗老道的慣犯”來形容Darkhotel APT組織一點不為過!長期被國家級APT組織盯上,本就如一顆隨時可爆發的炸彈,隨時面臨一國網路被癱瘓的風險。然而,這一次,Darkhotel APT組織還還攜“重磅利器”——“雙星”漏洞而來,於它簡直是“如虎添翼”;但於我國,簡直是惡魔夢魘的降世!

 

還記得WannaCry勒索病毒嗎?2017年5月12日,它利用Windows系統“永恆之藍”高危漏洞席捲全球,引爆網路世界的“生化危機”。以迅雷不及掩耳,橫掃150國家幾十萬臺計算機,不止政府機關、高校、醫院的電腦螢幕都被“染”成了紅色,能源、通訊、交通、製造等諸多關鍵資訊基礎設施也在這場風暴中,遭遇到前所未有的重創。

 

以至於,自那日起,它所帶來的恐懼就如不散的“陰魂”盤桓在人們的心中,久久不能散去;然而,與不斷加深恐懼相對應的是,其危害影響仍在持續。

 

2019年5月,也就是在WannaCry 爆發兩年之後,堪比“永恆之藍”的Bluekeep高危遠端漏洞高調來襲,一時間,全球400萬臺主機再次暴露在漏洞的暴風眼下,一旦該漏洞被黑客成功利用,世界將再次陷入不盡的黑暗。

 

單純利用Windows系統漏洞,就足以擁有了“毀天滅地”的力量,然而,作為IE瀏覽器和火狐瀏覽器兩個0day漏洞的“結合體”,“雙星”漏洞所蘊含的巨大威脅性、爆發力、破壞力不敢想,不敢想!

繼醫療機構、視訊監控系統被鎖定後,這一次的攻擊者瞄準的是誰?

然而,屋漏偏逢連夜雨,船遲又遇打頭風。

 

6天前的熱門推文,印度APT組織趁火打劫對我國醫療機構發起定向攻擊,還歷歷在目;

 

3天前的重磅警告,境外黑客組織又蠢蠢欲動,公然揚言欲對我國視訊監控系統痛下毒手,還縈繞在耳;

 

而今,半島APT組織Darkhotel又早已攜手“雙星”漏洞,對我國發動猛烈攻擊。在具體攻擊目標上,這一次,它再次瞄準與商貿相關的政府機構。

 

這一點非常好理解。“雙星”漏洞本就爆發於Win7停服之際,其攻擊之目標早已昭然若揭。而與此同時的關鍵是,當前我國的情況:

第一,國內超六成使用者曝光在“雙星”漏洞陰霾之下

直至2019年10月底,國內Windows7系統的市場份額佔比仍有近6成。Windows 7的終結,無疑意味著這些龐大的使用者失去了微軟官方的所有支援,包括軟體更新、補丁修復和防火牆保障,將直面各類利用漏洞等威脅進行的攻擊。蓄謀而來的“雙星”0day漏洞也不在Windows7的修復範圍內,所以,攻擊者完全可以憑藉該漏洞重擊所有使用Windows 7系統的計算機,並像野火一樣蔓延至整個網路,

第二,升級系統未納入採購清單,Win7仍是政府企事業單位主力

而另外一端,出於國家安全考量,我國政府至今未將Win 8、Win 10系統納入政府採購清單,也就是說,目前Win7仍被廣泛應用於政府企事業單位中。而隨著Win7的正式停服,這些單位的系統無疑在網路世界中裸奔。

 

所以,此次半島APT組織Darkhotel攜手“雙星”漏洞對商貿相關的我國政府機構發動攻擊,於它簡直是“如虎添翼”;但於我國,簡直是毀滅世界的惡魔!

第三,疫情大敵當前,醫療戰役與穩定國民經濟發展同重要

尤其,在當前我國傾一國之力,對抗疫情的當下,除了要打贏這場醫療疫情之戰,還要在這緊要關頭穩住國民經濟的發展。此時,半島APT組織Darkhotel對我國商貿領域下手,此舉不亞於印度APT組織,它不僅在趁火打劫!更是居心不良!

陰險、刁滑、狡詐六字揭祕,Darkhotel APT組織如何發動攻擊?

能利用“雙星”、雙瀏覽器0day漏洞,足見Darkhotel(APT-C-06)的攻擊技術早已驟然升級,然而,在對其攻擊流程和攻擊細節分析中,發現Darkhotel APT組織更是陰險、刁滑、狡詐的代名詞。

一.陰險!多種攻擊方式相組合複合式攻擊

從攻擊流程圖上來看,“雙星”0day漏洞的攻擊是:利用office漏洞文件、網頁掛馬和WPAD本地提權等多種攻擊方式,相組合進行的複雜組合攻擊。透過此,足見其攻擊路數之陰險!

二.刁滑!“自主”識別判斷並見機行事迫害

“雙星”漏洞是有“嗅覺”的,其網頁會判斷當前瀏覽器為IE還是Firefox,作業系統為32位還是64位;“雙星”漏洞還是“觸覺”的,在完成判定後,它還能根據不同的瀏覽器、不同作業系統載入相應的exploit攻擊程式碼。其“道行”,可謂是刁滑!

三.殺人於無形,配合office漏洞文件發動攻擊

攻擊者可以直接利用雙星漏洞進行網頁掛馬攻擊,有意思的是我們發現了一例Office漏洞文件觸發的雙星漏洞,是預設開啟IE瀏覽器進行攻擊。

在此案例中,初始攻擊使用了office公式編輯器漏洞(CVE-2017-11882),並根據目標精心製作了誘餌文件。

一旦使用者“上鉤”,執行漏洞文件、觸發漏洞,便會啟動公式編輯器,並利用公式編輯器程式開啟IE瀏覽器,進而訪問惡意網頁,最終觸發“雙星”漏洞。

如何避免被Darkhotel APT組織荼毒?,請“對症”領取“錦囊修復建議”

一面是國家級APT利用高危漏洞的攻擊,一面是Win7系統停服官方保護體系的缺失,政企使用者安全將何去何從?尤其是在這個特殊非常時期裡。針對此,智庫針對不同的瀏覽器漏洞、不同的作業系統提出了不同的應對措施:

第一, 針對火狐瀏覽器使用者:

由於目前,火狐瀏覽器已經發布了Firefox 72.0.1 and FirefoxESR 68.4.1,所以,火狐瀏覽器使用者及相關使用機構請儘快更新到最新版本。

第二, 針對Windows系統的使用者:

廣大政企使用者可聯絡360公司獲取360安全大腦Windows 7盾甲企業版。
聯絡方式如下:
聯絡人:趙文靜;
郵箱:zhaowenjing1@360.cn;
座機 :(010) 5244 7992;
應急 :yingji@360.cn;

 

360安全大腦Windows7盾甲企業版可一鍵管理全網終端,支援Windows全平臺已知漏洞的補丁修復,結合針對漏洞威脅全新推出的360微補丁功能,在面對“雙星”0day漏洞等突發性高危漏洞時,360微補丁可通過先行自動覆蓋漏洞,解決防護能力滯後問題,全天候守護PC安全。

 

正如原公安部第一研究所長嚴明在“面對Win7停服,我們如何應對”研討會上所說,對於廣大政企使用者來說,選擇360安全大腦Win7盾甲企業版等第三方服務,無疑是當前有效避免Win7停服安全威脅的策略之一。

第三, 其他應急措施:

限制對JScript.dll的訪問,可暫時規避該安全風險,但可能導致網站無法正常瀏覽。

 

對於32位系統,在管理命令提示符處輸入以下命令:
takeown/f %windir%\system32\jscript.dll
cacls%windir%\system32\jscript.dll /E /P everyone:N

 

對於64位系統,在管理命令提示符處輸入以下命令:
takeown/f %windir%\syswow64\jscript.dll
cacls%windir%\syswow64\jscript.dll /E /P everyone:N
takeown/f %windir%\system32\jscript.dll
cacls%windir%\system32\jscript.dll /E /P everyone:N

 

實施這些步驟可能會導致依賴jscript.dll的元件功能減少。為了得到完全保護,建議儘快安裝此更新。在安裝更新之前, 請還原緩解步驟以返回到完整狀態。

 

如何撤消臨時措施

 

對於32位系統,在管理命令提示符處輸入以下命令:
cacls%windir%\system32\jscript.dll /E /R everyone

 

對於64位系統,在管理命令提示符處輸入以下命令:
cacls%windir%\system32\jscript.dll /E /R everyone
cacls%windir%\syswow64\jscript.dll /E /R everyone

其他資料補充:

關於360高階威脅應對團隊(360 ATA Team):
專注於APT攻擊、0day漏洞等高階威脅攻擊的應急響應團隊,團隊主要技術領域包括高階威脅沙盒、0day漏洞探針技術和基於大資料的高階威脅攻擊追蹤溯源。在全球範圍內率先發現捕獲了包括雙殺、噩夢公式、毒針等在內的數十個在野0day漏洞攻擊,獨家披露了多個針對中國的APT組織的高階行動,團隊多人上榜微軟TOP100白帽黑客榜,樹立了360在威脅情報、0day漏洞發現、防禦和處置領域的核心競爭力。

 

關於《Darkhotel(APT-C-06)使用“雙星”0Day漏洞(CVE-2019-17026、CVE-2020-0674)針對中國發起的APT攻擊分析》報告連結:
http://blogs.360.cn/post/apt-c-06_0day.html

 

本文為國際安全智庫作品 (微信公眾號:guoji-anquanzhiku)
如需轉載,請標註文章來源於:國際安全智庫

相關文章