Lazarus Group 面向交易所的精密 APT 渗透攻击是如何实现的？

作者：Haotian

在上次 AMA 中，围绕是不是潜在 APT 高级渗透攻击和 @benbybit 老板进行了简单沟通，并没有明确定论是不是针对内部的渗透攻击。但如果调查结果是，按照慢雾最新的报告来看，朝鲜黑客组织 Lazarus Group 面向交易所的精密 APT 渗透攻击是如何实现的？以下，简单科普下逻辑：

社会工程学攻击：

1）黑客先伪装成项目方、投资人、第三方合作伙伴等联系到公司的开发人员；（这种社工手段很常见）

2）以调试代码或推荐开发测试工具、市场分析程序等为由，诱导员工运行恶意程序；（是被骗还是被策反都存在可能性）

3）完成恶意程序入侵后即可获得远程代码执行权限，并进一步诱导员工获得权限提升并横向渗透；

内网渗透流程：

1）利用单点突破的内网节点进行内网系统扫描，窃取关键服务器的 SSH 密钥，并利用白名单信任关系横向移动，获取更多控制权限并扩大恶意程序覆盖；

（疑点是，若交易所都有严密的防护系统，整个渗透过程中为何没能预警出异常？慢雾结论是利用企业内部基础设施，绕过大部分安全设备检测，看来内网系统还需加强红蓝对抗防渗透等演练？）

2）通过持续的内网渗透，最终获得目标钱包关联服务器，并更改后端智能合约程序以及多签名 UI 前端，实现偷梁换柱；

（前后端都进行了篡改，疑点在于是如何绕过全程的日志数据的？另外，黑客如何精准摸清最近要归集钱包实施大额转账的？疑点很多，这部分很容易让人怀疑有「内鬼」配合？）

Lazarus APT 高级持续性渗透攻击原理，通俗版本：

把交易所的加密货币冷钱包想象成一个位于高级写字楼顶层的特殊保险库。

在正常情况下，这个保险库有着严格的安全措施：有一个显示屏用于展示每笔转账信息，每次操作都需要多位高管同时到场，需要一起确认显示屏上的信息（比如「正在向 XX 地址转账 XXX 数量的 ETH」），只有在所有高管都确认无误后，转账才能完成。

然而，黑客通过精心策划的渗透攻击，首先利用社工手段获得了大楼的「门禁卡」（也就是入侵了初始电脑），成功混入大楼后，又设法复制了一位核心开发人员的「办公室钥匙」（获取了重要权限）。有了这把「钥匙」，黑客就能悄悄潜入更多「办公室」（在系统内部进行横向渗透，获取更多服务器的控制权）。

最终摸到了控制保险库的核心系统。黑客不仅更改了显示屏程序（篡改了多签 UI 界面），还修改了保险库内部的转账程序（更改了智能合约），这样当高管们看到显示屏上的信息时，看到的其实是经过篡改的虚假信息，而真实的资金则被转移到了黑客控制的地址。

Note：以上只是 lazarus 黑客组织的惯用 APT 渗透攻击方法， @Bybit_Official 事件目前并没有最终确凿的分析报告出来，因此仅作为参考，切勿对号入座！

不过，最后还是给 @benbybit 老板提个建议，Safe 这种更适合 DAO 组织的资产管理方式，只管正常调用执行，并不管调用的合法性验证，市场上有不少 FireBlocks、RigSec 之类更优的本地内控系统管理方案，在资产安全、权限管控、操作审计等方面都会有更好的配套表现。