屋漏偏逢連夜雨,船遲又遇打頭風。
禍不單行!
【導讀】1月14日,微軟正式宣告Windows 7系統停止更新。此次停服,引爆全網危機,不僅順機突發全球首例複合0day漏洞——「雙星」漏洞,令國內超六成用戶曝光在其陰霾之下;更有別有用心者「趁勢追擊」,利用「雙星」發動猛攻。近期,作為全球首家捕獲該漏洞的狙擊者——360安全大腦繼續對其分析溯源,判定:「雙星」漏洞已被活躍近十餘年的半島APT組織Darkhotel(APT-C-06)所利用,並瞄準我國商貿相關的政府機構發動攻擊。針對此事,本文,不僅對事件進行了抽絲剝繭、逐層深入的分析,更首次獨家揭秘了該APT組織,陰險、刁滑、狡詐的攻擊手法。
在開啟正文前,先向讀者交代下背景:
2020年1月14日,微軟正式宣告Windows 7系統停止更新。
在Win 7正式停服關鍵節點的首日,360安全大腦就在全球範圍內捕獲首例時利用IE瀏覽器和火狐瀏覽器兩個0day漏洞的複合攻擊,由於是全球首家捕獲到此次攻擊,360安全大腦將其命名為「雙星」0day漏洞攻擊,其編號分別是:CVE-2019-17026(火狐)和CVE-2020-0674(IE)。
「雙星」漏洞不僅影響了最新版本的火狐瀏覽器和IE瀏覽器及使用了相關瀏覽器內核的應用程式;值得警惕的是,該漏洞可致使用戶在毫無防備的情況下,就被植入勒索病毒,甚至被黑客監聽監控,執行竊取敏感信息等任意操作,其威脅性可謂是史無前例。
然而,別有用心者仍在「趁勢之危」。近期,360安全大腦經分析溯源判定:「雙星」漏洞不僅已被活躍十餘年的半島APT組織Darkhotel(APT-C-06)所利用,更是針對我國商貿相關的政府機構發動主要攻擊。
又一起針對我國的APT攻擊
此次攻擊者是「何方妖孽」?
Darkhotel(APT-C-06),中文名為黑店。是一個有著東亞背景,長期針對企業高管、國防工業、電子工業等重要機構實施網絡間諜攻擊活動的APT組織。其相關攻擊行動最早可以追溯到2007年。2014年11月,被卡巴斯基實驗室的安全專家首次發現。此後,360高級威脅團隊就對該團伙的活動一直保持著持續跟蹤。
2018年4月,360安全大腦就曾在全球範圍內,率先監測到了該組織使用0day漏洞進行APT攻擊。從其溯源分析報告來看,該APT組織瞄準中、俄、日、韓等國政府及組織機構或企業單位,尤其針對中國重點省份外貿企業單位和相關機構展開攻擊。
「一個經驗老道的慣犯」來形容Darkhotel APT組織一點不為過!長期被國家級APT組織盯上,本就如一顆隨時可爆發的炸彈,隨時面臨一國網絡被癱瘓的風險。然而,這一次,Darkhotel APT組織還還攜「重磅利器」——「雙星」漏洞而來,於它簡直是「如虎添翼」;但於我國,簡直是惡魔夢魘的降世!
還記得WannaCry勒索病毒嗎?2017年5月12日,它利用Windows系統「永恆之藍」高危漏洞席捲全球,引爆網絡世界的「生化危機」。以迅雷不及掩耳,橫掃150國家幾十萬台計算機,不止政府機關、高校、醫院的電腦螢幕都被「染」成了紅色,能源、通信、交通、製造等諸多關鍵信息基礎設施也在這場風暴中,遭遇到前所未有的重創。
以至於,自那日起,它所帶來的恐懼就如不散的「陰魂」盤桓在人們的心中,久久不能散去;然而,與不斷加深恐懼相對應的是,其危害影響仍在持續。
2019年5月,也就是在WannaCry 爆發兩年之後,堪比「永恆之藍」的Bluekeep高危遠程漏洞高調來襲,一時間,全球400萬台主機再次暴露在漏洞的暴風眼下,一旦該漏洞被黑客成功利用,世界將再次陷入不盡的黑暗。
單純利用Windows系統漏洞,就足以擁有了「毀天滅地」的力量,然而,作為IE瀏覽器和火狐瀏覽器兩個0day漏洞的「結合體」,「雙星」漏洞所蘊含的巨大威脅性、爆發力、破壞力不敢想,不敢想!
繼醫療機構、視頻監控系統被鎖定後
這一次的攻擊者瞄準的是誰?
然而,屋漏偏逢連夜雨,船遲又遇打頭風。
6天前的熱門推文,印度APT組織趁火打劫對我國醫療機構發起定向攻擊,還歷歷在目;
3天前的重磅警告,境外黑客組織又蠢蠢欲動,公然揚言欲對我國視頻監控系統痛下毒手,還縈繞在耳;
而今,半島APT組織Darkhotel又早已攜手「雙星」漏洞,對我國發動猛烈攻擊。在具體攻擊目標上,這一次,它再次瞄準與商貿相關的政府機構。
這一點非常好理解。「雙星」漏洞本就爆發於Win7停服之際,其攻擊之目標早已昭然若揭。而與此同時的關鍵是,當前我國的情況:
第一,國內超六成用戶曝光在「雙星」漏洞陰霾之下
直至2019年10月底,國內Windows7系統的市場份額占比仍有近6成。Windows 7的終結,無疑意味著這些龐大的用戶失去了微軟官方的所有支持,包括軟體更新、補丁修復和防火牆保障,將直面各類利用漏洞等威脅進行的攻擊。蓄謀而來的「雙星」0day漏洞也不在Windows7的修復範圍內,所以,攻擊者完全可以憑藉該漏洞重擊所有使用Windows 7系統的計算機,並像野火一樣蔓延至整個網絡,
第二,升級系統未納入採購清單,Win7仍是政府企事業單位主力
而另外一端,出於國家安全考量,我國政府至今未將Win 8、Win 10系統納入政府採購清單,也就是說,目前Win7仍被廣泛應用於政府企事業單位中。而隨著Win7的正式停服,這些單位的系統無疑在網絡世界中裸奔。
所以,此次半島APT組織Darkhotel攜手「雙星」漏洞對商貿相關的我國政府機構發動攻擊,於它簡直是「如虎添翼」;但於我國,簡直是毀滅世界的惡魔!
第三,疫情大敵當前,醫療戰役與穩定國民經濟發展同重要
尤其,在當前我國傾一國之力,對抗疫情的當下,除了要打贏這場醫療疫情之戰,還要在這緊要關頭穩住國民經濟的發展。此時,半島APT組織Darkhotel對我國商貿領域下手,此舉不亞於印度APT組織,它不僅在趁火打劫!更是居心不良!
陰險、刁滑、狡詐六字揭秘
Darkhotel APT組織如何發動攻擊?
能利用「雙星」、雙瀏覽器0day漏洞,足見Darkhotel(APT-C-06)的攻擊技術早已驟然升級,然而,在對其攻擊流程和攻擊細節分析中,發現Darkhotel APT組織更是陰險、刁滑、狡詐的代名詞。
一.陰險!多種攻擊方式相組合複合式攻擊
從攻擊流程圖上來看,「雙星」0day漏洞的攻擊是:利用office漏洞文檔、網頁掛馬和WPAD本地提權等多種攻擊方式,相組合進行的複雜組合攻擊。透過此,足見其攻擊路數之陰險!
二.刁滑!「自主」識別判斷並見機行事迫害
「雙星」漏洞是有「嗅覺」的,其網頁會判斷當前瀏覽器為IE還是Firefox,作業系統為32位還是64位;「雙星」漏洞還是「觸覺」的,在完成判定後,它還能根據不同的瀏覽器、不同作業系統加載相應的exploit攻擊代碼。其「道行」,可謂是刁滑!
三.殺人於無形,配合office漏洞文檔發動攻擊
攻擊者可以直接利用雙星漏洞進行網頁掛馬攻擊,有意思的是我們發現了一例Office漏洞文檔觸發的雙星漏洞,是默認打開IE瀏覽器進行攻擊。
在此案例中,初始攻擊使用了office公式編輯器漏洞(CVE-2017-11882),並根據目標精心製作了誘餌文檔。
一旦用戶「上鉤」,運行漏洞文檔、觸發漏洞,便會啟動公式編輯器,並利用公式編輯器進程打開IE瀏覽器,進而訪問惡意網頁,最終觸發「雙星」漏洞。
如何避免被Darkhotel APT組織荼毒?
請「對症」領取「錦囊修復建議」
一面是國家級APT利用高危漏洞的攻擊,一面是Win7系統停服官方保護體系的缺失,政企用戶安全將何去何從?尤其是在這個特殊非常時期里。針對此,智庫針對不同的瀏覽器漏洞、不同的作業系統提出了不同的應對措施:
第一, 針對火狐瀏覽器使用者:
由於目前,火狐瀏覽器已經發布了Firefox 72.0.1 and FirefoxESR 68.4.1,所以,火狐瀏覽器用戶及相關使用機構請儘快更新到最新版本。
第二, 針對Windows系統的使用者:
廣大政企用戶可聯繫360公司獲取360安全大腦Windows 7盾甲企業版。
聯繫方式如下:
聯繫人:趙文靜;
郵箱:zhaowenjing1@360.cn;
座機 :(010) 5244 7992;
應急 :yingji@360.cn;
360安全大腦Windows7盾甲企業版可一鍵管理全網終端,支持Windows全平台已知漏洞的補丁修復,結合針對漏洞威脅全新推出的360微補丁功能,在面對「雙星」0day漏洞等突發性高危漏洞時,360微補丁可通過先行自動覆蓋漏洞,解決防護能力滯後問題,全天候守護PC安全。
正如原公安部第一研究所長嚴明在「面對Win7停服,我們如何應對」研討會上所說,對於廣大政企用戶來說,選擇360安全大腦Win7盾甲企業版等第三方服務,無疑是當前有效避免Win7停服安全威脅的策略之一。
第三, 其他應急措施:
限制對JScript.dll的訪問,可暫時規避該安全風險,但可能導致網站無法正常瀏覽。
對於32位系統,在管理命令提示符處輸入以下命令:
takeown/f %windir%\\system32\\jscript\.dll
cacls%windir%\\system32\\jscript\.dll /E /P everyone:N
對於64位系統,在管理命令提示符處輸入以下命令:
takeown/f %windir%\\syswow64\\jscript\.dll
cacls%windir%\\syswow64\\jscript\.dll /E /P everyone:N
takeown/f %windir%\\system32\\jscript\.dll
cacls%windir%\\system32\\jscript\.dll /E /P everyone:N
實施這些步驟可能會導致依賴jscript.dll的組件功能減少。為了得到完全保護,建議儘快安裝此更新。在安裝更新之前, 請還原緩解步驟以返回到完整狀態。
如何撤消臨時措施
對於32位系統,在管理命令提示符處輸入以下命令:
cacls%windir%\\system32\\jscript\.dll /E /R everyone
對於64位系統,在管理命令提示符處輸入以下命令:
cacls%windir%\\system32\\jscript\.dll /E /R everyone
cacls%windir%\\syswow64\\jscript\.dll /E /R everyone
其他資料補充:
關於360高級威脅應對團隊(360 ATA Team):
專注於APT攻擊、0day漏洞等高級威脅攻擊的應急響應團隊,團隊主要技術領域包括高級威脅沙盒、0day漏洞探針技術和基於大數據的高級威脅攻擊追蹤溯源。在全球範圍內率先發現捕獲了包括雙殺、噩夢公式、毒針等在內的數十個在野0day漏洞攻擊,獨家披露了多個針對中國的APT組織的高級行動,團隊多人上榜微軟TOP100白帽黑客榜,樹立了360在威脅情報、0day漏洞發現、防禦和處置領域的核心競爭力。
關於《Darkhotel(APT-C-06)使用「雙星」0Day漏洞(CVE-2019-17026、CVE-2020-0674)針對中國發起的APT攻擊分析》
報告連結:
http://blogs.360.cn/post/apt-c-06_0day.html,
請點擊閱讀原文獲取詳細報告。