Darkhotel（APT-C-06）组织后门框架Thinmon关键技术细节重磅披露 – 作者:国际安全智库

【导读】网络世界的攻击手法“流光溢彩”，对抗的道路仍是任重道远。今年3月疫情期间，360安全大脑追踪到涉半岛APT组织Darkhotel通过利用国内某VPN软件漏洞，对我国驻外、政府等机构发起大规模攻击。然而，就在那次的追踪行动中，Darkhotel使用了一个从未被披露过的全新后门框架——Thinmon。更为重要的是，经过进一步追踪，这个神秘的全新后门框架又为我们揭开了另一个惊天秘密——自2017年以来，Darkhotel组织持续利用“Thinmon”后门框架，针对我国华北和沿海地区的政府、新闻媒体、大型国企、外贸企业等机构，进行长期的秘密监控与窃取机密文件攻击。近日，360安全大脑就以《Darkhotel（APT-C-06）组织最新活动——Thinmon攻击揭秘》为题，首度披露这一从未被外界披露和定义过的全新攻击武器。

Darkhotel黑店“经营”十年有余   360安全大脑首揭Thinmon全新后门框架

Darkhotel（译名“黑店”）：一个有着东亚背景，长期针对企业高管、政府机构、国防工业、电子工业等重要机构实施网络间谍攻击活动的APT组织。其足迹遍布中国、朝鲜、日本、缅甸、俄罗斯等国家，相关攻击行动最早可以追溯到2007年，而直到2014年11月，被卡巴斯基实验室首次披露出来。此后，360安全大脑对其进行长期持续性追踪：

• 2018年4月，360安全大脑就曾在全球范围内，率先监测到Darkhotel组织瞄准中、俄、日、韩等国政府及组织机构或企业单位，尤其针对中国重点省份外贸企业单位和相关机构展开攻击；

• 今年2月，在Win 7停服之际，360安全大脑全球首家捕获Darkhotel组织利用“双星”0day漏洞，瞄准我国商贸相关的政府机构发动攻击；

• 今年3月，360安全大脑再次捕获到Darkhotel组织，劫持某VPN厂商下发恶意文件，锁定中国驻外机构、政府相关单位发动定向攻击。

历经十年有余的“经营”，360安全大脑监测到：

• Darkhotel组织的攻击行动越发频繁和“肆无忌惮”，其中包括：W行动、Darkhotel、Erebus、Daybreak、Thinmon等；

• 不仅如此，其使用的恶意代码同样极为复杂，相关漏洞武器库多达到数十种，包括：Lucker、Retro、Collector、Thinmon、Ramsay、CVE-2016-4171（0day）、CVE-2016-4117、CVE-2015-3636、CVE-2014-3153、CVE-2018-8174（双杀0day）、CVE-2019-17026（双星0day）、CVE-2020-0674（双星0day）等。

然而，更为重要的是，在今年3月的这次攻击中，360安全大脑监测到Darkhotel使用了一个从未被披露过的全新后门框架，该后门已经被Darkhotel秘密使用三年时间。360安全大脑根据该后门相关样本的文件名，将其命名为“Thinmon”后门框架。

全新后门框架Thinmon的背后   竟是Darkhotel对我国长达3年持续性攻击

Thinmon，这是一个从未被外界定义、公开过的后门框架。其中不乏屏幕截图、文件窃取、键盘记录、远程监控等功能，且其插件在计算机中皆以二进制加密的形式存放在临时目录，只有在需要被加载启动时，调度模块才会对其解密并加载。可以说，Thinmon是黑客组织长期潜伏渗透，进行情报窃取的绝佳间谍手段。果不其然，通过对这全新且神秘的后门框架的追踪，360安全大脑发现：从2017年起，Darkhotel就利用该后门框架，对我国实施了长达三年时间的一系列APT攻击活动，以下为该组织的攻击情况：

• 攻击意图：主要在于长期监控和窃取机密文件；

• 攻击用户：主要分布在我国东部沿海地区以及靠近朝鲜半岛的地区，这些地区拥有与朝鲜半岛来往距离优势，进而也成为中招用户的主要地区；

• 攻击行业：涵盖了政府、驻华机构、外贸、新闻媒体等多个行业，其中与贸易有关的企业占比最多达到1/4，其次是政府机构、新闻媒体，大型国企、高等院校。在最近的VPN劫持攻击事件中，有多个中国驻外机构受到了攻击。

追本溯源——“验明正身”

证实Thinmon与Darkhotel组织关系正所谓，凡是攻击，必会留下痕迹，对于Thinmon后门框架同样适用。在如何证明Thinmon后门框架与Darkhotel组织隶属关系时，在此次报告中，360安全大脑也给予了证实：证实1：算法十分相似Thinmon后门框架的此次攻击与2018年初“双杀”漏相关披露中的算法存在十分相似，都是通过一个64字节的异或表对加密字符串循环异或；证实2：插件存在关联本次攻击组件thinmon和早期版本的lucker插件存在关联；如下图展示的是thinmon和lucker的插件代码的静态分析关联，代码在字符串解密和加载过程中存在相似。下图则是thinmon和lucker的插件内存数据和代码关联，左图是内存代码，右图是静态分析代码。可以看出Darkhotel组织长期关注各种文档、邮件、CAD工程图等文件，进行窃取，其中还包括韩语系办公软件hwp。证实3：导出名存在关联除此之外，Thinmon的此次攻击和后期Ramsay组件的导出名也存在关联。

技战术——深度解密   Thinmon攻击行为可谓“花样百出”

随着360安全大脑对Thinmon的进一步分析窥探，其攻击招式更是“花样百出”。从技战术角度分析，主要分为水坑攻击和漏洞攻击两种，攻击的后门程序按功能以插件形式释放和调度。

Part1. “层出不穷”的漏洞攻击漏洞无处不在，Thinmon同样利用漏洞作为攻击之突破口。在利用软件平台的总控服务器漏洞下，发执行远程命令，下发木马后门程序，进一步控制主机。招数一：利用安全软件升级漏洞2018年上半年，该组织通过入侵某单位的安全软件总控服务器，下发伪装成补丁的木马文件。在持续控制一年后，该组织不间断地针对该单位的终端下发伪装成软件升级包的后门程序。无独有偶，2018年下半年该组织攻击某单位的另一款安全软件总控服务器后，是通过下发命令执行恶意脚本实施攻击，该恶意脚本通过远程服务器下载payload和相关插件。招数二：利用OA软件升级漏洞近年来，某OA软件多次被爆出安全漏洞，2017年该组织利用某OA软件漏洞对相关单位进行攻击，攻击者通过OA主控服务器下发执行命令，在计算机上下发命令执行tmp后缀的JS恶意脚本，通过一系列解密、释放动作安装后门程序。招数三：利用VPN软件升级漏洞2020年初，该组织利用某VPN软件的升级漏洞再次发起攻击，攻击者事先通过漏洞拿下了VPN服务器，然后将服务端的VPN客户端升级组件替换为后门程序，并更改了服务端升级配置文件，使用户在启动VPN客户端时会重新下载伪装成升级程序的后门程序，后门程序会从远程服务器下载执行shellcode，最终释放各种不同功能的攻击组件。Part2. “守株待兔”的水坑攻击“水坑攻击”一词来源于自然界，掠食者潜伏在水坑附近，等待他们想要的猎物。而网络世界亦是有“守株待兔”之意。在360安全大脑公布的报告中，对捕获的一例典型的水坑攻击进行分析。被攻击者访问韩国某色情网站，并下载带有木马的QuickTime安装包后中招。该安装包在安装完成后，会将恶意样本（Loader）释放在%appdata%目录并启动，最终加载载荷模块。基于对Thinmon技战术的分析，从利用安全软件升级漏洞到利用OA系统升级漏洞再到利用“炙手可热”的VPN软件升级漏洞。不得不说Darkhotel“黑店”组织“推陈出新”速度之快，紧随时代触角之敏锐，堪称一绝。而神秘又强大的“黑店”攻击组织，利用Thinmon后门框架展开攻击活动之背后，安全威胁也远远不止于此。Part3. 后门核心组件使用开源项目值得注意的是，在此次报告研究中，360安全大脑解密到，其中一个后门组件的远控模块使用了开源项目Meterpreter的核心组件metsrv.dll，其结构如下：

Shellcode有了强大开源软件Meterpreter的加持，Thinmon攻击可轻易实现绕过杀软，进而肆意在内网中渗透测试的目的，这无疑证明敌已在我的潜伏渗透，令攻防两端的不对称性急剧加大，易攻难防的态势愈发凸显。智 库 时 评  网络世界的攻击手法“流光溢彩”，对抗的道路仍任重道远。可以说，Darkhotel（APT-C-06）组织利用Thinmon后门框架所展开的攻击，无疑成为网安世界的有序运行的又一大“阻碍”。尤其对该团伙近三年来的攻击武器和技战术进行分析，我们可以看到：该组织对企业所使用的内网安全软件和办公软件进行了深入的研究，利用这些软件安全平台的漏洞投放后门程序，并持续更新迭代恶意代码的功能和形态。小到企事业单位，大到国家级关键部门极有可能成为其后门程序的攻击目标，这无疑将给企事业单位应对高阶持续威胁APT带来更大的挑战。而此次对Darkhotel组织全新秘密武器Thinmon的披露，也再一次向我们验证到：随着全球数字化转型的加速，高级持续性威胁（APT）早已成为干系到政府、国防安全的重大威胁，战场大、对手大、目标大、布局大、手法大、危害大、挑战大等新网络战特征早已令战争升维到一个史无前例的高度。在网络安全威胁一触爆发之际，如何有效应对APT威胁所带来了安全新挑战，成为当下亟需解决的难题。此刻，我们越发感知到以“统领全局的顶层设计和谋略”，以完善的“网络安全新理念和新框架”部署落地的重要性与紧迫性，为如此方能更好的应对新时代下的大威胁、大挑战，更好的守护国家、社会和人民生活之安宁。 最后，关于披露此次报告的360高级威胁研究院：它是360政企安全集团的核心能力支持部门，由360资深安全专家组成，专注于高级威胁的发现、防御、处置和研究，曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击，独家披露多个国家级APT组织的高级行动，赢得业内外的广泛认可，为360保障国家网络安全提供有力支撑。 
来源：freebuf.com 2020-08-26 17:30:10 by: 国际安全智库