Lazarus Group 面向交易所的精密 APT 滲透攻擊是如何實現的？

作者：Haotian

在上次 AMA 中，圍繞是不是潛在 APT 高級滲透攻擊和 @benbybit 老闆進行了簡單溝通，並沒有明確定論是不是針對內部的滲透攻擊。但如果調查結果是，按照慢霧最新的報告來看，朝鮮黑客組織 Lazarus Group 面向交易所的精密 APT 滲透攻擊是如何實現的？以下，簡單科普下邏輯：

社會工程學攻擊：

1）黑客先偽裝成項目方、投資人、第三方合作夥伴等聯繫到公司的開發人員；（這種社工手段很常見）

2）以調試代碼或推薦開發測試工具、市場分析程序等為由，誘導員工運行惡意程序；（是被騙還是被策反都存在可能性）

3）完成惡意程序入侵後即可獲得遠程代碼執行權限，並進一步誘導員工獲得權限提升並橫向滲透；

內網滲透流程：

1）利用單點突破的內網節點進行內網系統掃描，竊取關鍵伺服器的 SSH 密鑰，並利用白名單信任關係橫向移動，獲取更多控制權限並擴大惡意程序覆蓋；

（疑點是，若交易所都有嚴密的防護系統，整個滲透過程中為何沒能預警出異常？慢霧結論是利用企業內部基礎設施，繞過大部分安全設備檢測，看来內網系統還需加強紅藍對抗防滲透等演練？）

2）通過持續的內網滲透，最終獲得目標錢包關聯伺服器，並更改後端智能合約程序以及多簽名 UI 前端，實現偷梁換柱；

（前後端都進行了篡改，疑點在於如何繞過全程的日誌數據的？另外，黑客如何精準摸清最近要歸集錢包實施大額轉帳的？疑點很多，這部分很容易讓人懷疑有「內鬼」配合？）

Lazarus APT 高級持續性滲透攻擊原理，通俗版本：

把交易所的加密貨幣冷錢包想象成一個位於高級寫字樓頂層的特殊保險庫。

在正常情況下，這個保險庫有著嚴格的安全措施：有一個顯示屏用於展示每筆轉帳信息，每次操作都需要多位高管同時到場，需要一起確認顯示屏上的信息（比如「正在向 XX 地址轉帳 XXX 數量的 ETH」），只有在所有高管都確認無誤後，轉帳才能完成。

然而，黑客通過精心策劃的滲透攻擊，首先利用社工手段獲得了大樓的「門禁卡」（也就是入侵了初始電腦），成功混入大樓後，又設法複製了一位核心開發人員的「辦公室鑰匙」（獲取了重要權限）。有了這把「鑰匙」，黑客就能悄悄潛入更多「辦公室」（在系統內部進行橫向滲透，獲取更多伺服器的控制權）。

最終摸到了控制保險庫的核心系統。黑客不僅更改了顯示屏程序（篡改了多簽 UI 界面），還修改了保險庫內部的轉帳程序（更改了智能合約），這樣當高管們看到顯示屏上的信息時，看到的其實是經過篡改的虛假信息，而真實的資金則被轉移到了黑客控制的地址。

Note：以上只是 lazarus 黑客組織的慣用 APT 滲透攻擊方法， @Bybit_Official 事件目前並沒有最終確鑿的分析報告出來，因此僅作為參考，切勿對號入座！

不過，最後還是給 @benbybit 老闆提個建議，Safe 這種更適合 DAO 組織的資產管理方式，只管正常調用執行，並不管調用的合法性驗證，市場上有不少 FireBlocks、RigSec 之類更優的本地內控系統管理方案，在資產安全、權限管控、操作審計等方面都會有更好的配套表現。