朝鮮駭客組織Lazarus Group是如何進行精密APT滲透攻擊的？

把交易所的加密貨幣冷錢包想像成一個位於高級辦公大樓頂層的特殊保險庫。

在上次AMA中，圍繞是不是潜在APT高級滲透攻擊和@benbybit老闆進行了簡單溝通，並沒有明確定論是不是針對內部的滲透攻擊。但如果調查結果是，按照慢霧最新的報告來看，朝鮮駭客組織Lazarus Group面向交易所的精密APT滲透攻擊是如何實現的？以下，簡單科普下邏輯：

社會工程學攻擊：

1）駭客先偽裝成項目方、投資人、協力廠商合作夥伴等聯系到公司的開發人員；（這種社工手段很常見）

2）以調試程式碼或推薦開發測試工具、市場分析程式等為由，誘導員工運行惡意程式；（是被騙還是被策反都存在可能性）

3）完成惡意程式入侵後即可獲得遠程程式碼執行許可權，並進一步誘導員工獲得許可權提升並橫向滲透；

內網滲透流程：

1）利用單點突破的內網節點進行內網系統掃描，竊取關鍵服務器的SSH金鑰，並利用白名單信任關係橫向移動，獲取更多控制許可權並擴大惡意程式覆蓋；

2）通過持續的內網滲透，最終獲得目標錢包關聯服務器，並更改後端智慧合約程式以及多簽名UI前端，實現偷樑換柱；

Lazarus APT高級持續性滲透攻擊原理，通俗版本：

把交易所的加密貨幣冷錢包想像成一個位於高級辦公大樓頂層的特殊保險庫。

在正常情况下，這個保險庫有著嚴格的安全措施：有一個顯示幕用於展示每筆轉帳資訊，每次操作都需要多位高管同時到場，需要一起確認顯示幕上的資訊（比如「正在向XX地址轉帳XXX數量的ETH」），只有在所有高管都確認無誤後，轉帳才能完成。

然而，駭客通過精心策劃的滲透攻擊，首先利用社工手段獲得了大樓的「門禁卡」（也就是入侵了初始電腦），成功混入大樓後，又設法複製了一比特覈心開發人員的「辦公室鑰匙」（獲取了重要許可權）。有了這把「鑰匙」，駭客就能悄悄潜入更多「辦公室」（在系統內部進行橫向滲透，獲取更多服務器的控制權）。

最終摸到了控制保險庫的覈心系統。駭客不僅更改了顯示幕程式（篡改了多簽UI介面），還修改了保險庫內部的轉帳程式（更改了智慧合約），這樣當高管們看到顯示幕上的資訊時，看到的其實是經過篡改的虛假資訊，而真實的資金則被轉移到了駭客控制的地址。

Note：以上只是lazarus駭客組織的慣用APT滲透攻擊方法，@ Bybit_Official事件現時並沒有最終確鑿的分析報告出來，囙此僅作為參攷，切勿對號入座！

不過，最後還是給@benbybit老闆提個建議，Safe這種更適合DAO組織的資產管理管道，只管正常調用執行，並不管調用的合法性驗證，市場上有不少FireBlocks、RigSec之類更優的本地內控系統管理方案，在資產安全、許可權管控、操作稽核等方面都會有更好的配套表現。

原文網址：https://zh.gushiio.com/zixun/2747.html