如何防范來自朝鮮黑客的安全攻擊?
撰文:MetaTrust Labs
2024 年 1 月 1 日,一場針對 Orbit Chain 的黑客攻擊引起了全球加密貨幣界的關(guān)注。據(jù)報道,黑客利用 Orbit Chain 的漏洞,竊取了價值 8150 萬美元的加密貨幣,并將其轉(zhuǎn)移到了其他地址。Orbit Chain 官方已經(jīng)確認(rèn)了這一事件,并表示正在與國際執(zhí)法機(jī)構(gòu)合作,追查攻擊者的身份和動機(jī)。一些安全專家認(rèn)為,這次攻擊的手法和目標(biāo)與朝鮮黑客組織 Lazarus 的風(fēng)格相似,可能是該組織的又一次網(wǎng)絡(luò)犯罪行為。
Lazarus 是何方組織,他們的活動為什么會引起國際上如此高的警惕?該組織又是如何通過加密貨幣來繞過國際制裁和反洗錢措施的呢?
來自朝鮮的 Lazarus 黑客組織
Lazarus 黑客組織是朝鮮官方背景的知名黑客組織,自 2009 年以來已經(jīng)運(yùn)營了十多年。該組織以全球范圍內(nèi)的組織為目標(biāo)而聞名,迄今為止的行動包括對金融機(jī)構(gòu)、媒體和政府機(jī)構(gòu)的攻擊。Lazarus Group 由朝鮮情報偵察總局下屬的 121 局控制。該組織以攻擊銀行和加密貨幣交易所聞名,通過竊取資金和數(shù)據(jù)來獲取經(jīng)濟(jì)利益。Lazarus Group 以高規(guī)格禮遇對待程序員,并鼓勵有計算機(jī)天賦的人加入官方「黑客」行列。
平壤自動化大學(xué)是 Lazarus Group 黑客的重要來源之一。該組織已經(jīng)將自己的工作重心從政治攻擊轉(zhuǎn)移至經(jīng)濟(jì)攻擊,專注于攻擊加密貨幣世界。他們的活動還涉及針對安全研究人員、在開源加密貨幣平臺中嵌入惡意代碼、執(zhí)行大規(guī)模加密貨幣搶劫以及利用虛假工作面試來傳播惡意軟件。這些黑客組織通過非法手段獲得的資金會經(jīng)歷傳統(tǒng)網(wǎng)絡(luò)犯罪集團(tuán)所采用的典型洗錢流程,被竊取的加密貨幣經(jīng)常被轉(zhuǎn)換為法定貨幣,用來逃避反洗錢措施。
韓國、美國和日本一直對朝鮮黑客組織的活動保持高度警惕。據(jù)報道,朝鮮黑客組織在過去幾年中成功竊取了價值 30 億美元的加密貨幣資金,這些資金被用于支持朝鮮的核彈和彈道導(dǎo)彈計劃。美國、韓國和日本的安全顧問們在首爾會晤,商討了如何應(yīng)對朝鮮在網(wǎng)絡(luò)空間的風(fēng)險,并宣布了新的三邊合作倡議,重點(diǎn)解決朝鮮進(jìn)行的網(wǎng)絡(luò)犯罪和加密貨幣洗錢活動。此次會議是在朝鮮半島局勢緊張升級的時刻召開的,朝鮮加快了核武器和導(dǎo)彈計劃的擴(kuò)張,并公開展示了核武器先發(fā)制人使用的態(tài)度。
Lazarus 黑客組織的攻擊手段和目標(biāo)多種多樣,從針對金融機(jī)構(gòu)的 SWIFT 網(wǎng)絡(luò)攻擊到更廣泛的加密貨幣搶劫,都表現(xiàn)出該組織的高度技術(shù)能力和威脅性。然而,對于這些攻擊的防范措施卻相對較少。自 2018 年以來,朝鮮黑客已經(jīng)竊取了約 20 億美元的虛擬貨幣。僅在 2023 年,他們就盜取了大約 2 億美元的加密貨幣,占當(dāng)年被盜資金的 20%。這些黑客的存在對虛擬貨幣生態(tài)系統(tǒng)構(gòu)成持續(xù)威脅,并且他們的網(wǎng)絡(luò)攻擊方法日益演變和復(fù)雜化。
朝鮮黑客組織的活動規(guī)模超過其他惡意行為者的 10 倍,并且他們還針對去中心化金融生態(tài)系統(tǒng)進(jìn)行攻擊。他們使用各種方法進(jìn)行網(wǎng)絡(luò)攻擊,包括網(wǎng)絡(luò)釣魚、供應(yīng)鏈攻擊和其他形式的黑客手段。因此,企業(yè)和個人用戶需要加強(qiáng)網(wǎng)絡(luò)安全措施,定期更新軟件、強(qiáng)化密碼策略,并提高對網(wǎng)絡(luò)安全的重視程度。同時,監(jiān)管機(jī)構(gòu)也需要加強(qiáng)監(jiān)管力度,制定更加嚴(yán)格的法律法規(guī)來遏制這種網(wǎng)絡(luò)犯罪行為。
攻擊案例一:Lazarus 利用 Log4Shell 漏洞進(jìn)行 Blacksmith 鐵匠行動
攻擊過程與手段:
1、利用 Log4Shell 漏洞:Lazarus 首先利用 Log4Shell 漏洞,這是一個在 Log4j 日志庫中發(fā)現(xiàn)的遠(yuǎn)程代碼執(zhí)行缺陷。由于該漏洞在兩年前被發(fā)現(xiàn)并修復(fù),但許多系統(tǒng)可能仍然存在未修補(bǔ)的版本,為 Lazarus 提供了進(jìn)入的入口。
2、代理工具部署:一旦獲得初始訪問權(quán)限,Lazarus 設(shè)置了一個代理工具,該工具用于在受攻擊的服務(wù)器上進(jìn)行持久訪問。此工具允許他們運(yùn)行偵察命令、創(chuàng)建新的管理員帳戶,并部署其他憑據(jù)竊取工具。
3、NineRAT 部署:在第二階段,Lazarus 在系統(tǒng)上部署了 NineRAT 惡意軟件。NineRAT 是一個遠(yuǎn)程訪問木馬,可以收集系統(tǒng)信息、升級到新版本、停止執(zhí)行、自行卸載以及從受感染的計算機(jī)上傳文件。它還包含一個釋放器,負(fù)責(zé)建立持久性并啟動主要的二進(jìn)制文件。
4、DLRAT 與 BottomLoader 使用:Lazarus 還使用了 DLRAT 和 BottomLoader。DLRAT 是一種特洛伊木馬和下載程序,允許 Lazarus 在受感染的系統(tǒng)上引入額外的有效負(fù)載。BottomLoader 則是一個惡意軟件下載程序,可以從硬編碼 URL 獲取并執(zhí)行有效負(fù)載。
5、憑證竊取與持久化:利用 ProcDump 和 MimiKatz 等工具進(jìn)行憑證轉(zhuǎn)儲,以獲取更多的系統(tǒng)信息。同時,通過在系統(tǒng)的啟動目錄中創(chuàng)建 URL 文件,實(shí)現(xiàn)了新版本或其刪除的有效負(fù)載的持久性。
參考鏈接:
https://www.csoonline.com/article/1259949/lazarus-apt-attack-campaign-shows-log4shell-exploitation-remains-popular.html
https://nvd.nist.gov/vuln/detail/cve-2021-44228
攻擊案例二:Lazarus 黑客組織利用 MagicLine4NX 軟件進(jìn)行供應(yīng)鏈攻擊
攻擊過程:
1、水坑漏洞攻擊:Lazarus 黑客組織潛入特定用戶經(jīng)常訪問的網(wǎng)站,并在其中嵌入惡意的腳本。當(dāng)使用 MagicLine4NX 身份驗(yàn)證軟件的用戶訪問這些網(wǎng)站時,嵌入的代碼就會執(zhí)行,黑客就能完全控制該系統(tǒng)。
2、利用系統(tǒng)漏洞傳播惡意代碼:黑客利用 MagicLine4NX 軟件中的零日漏洞,使連接網(wǎng)絡(luò)的個人電腦訪問他們的互聯(lián)網(wǎng)服務(wù)器。然后,他們通過數(shù)據(jù)同步功能將惡意代碼傳播到業(yè)務(wù)端服務(wù)器。
3、嘗試數(shù)據(jù)轉(zhuǎn)移:惡意軟件試圖與兩臺 C2 服務(wù)器建立連接,其中一臺是網(wǎng)絡(luò)系統(tǒng)內(nèi)的網(wǎng)關(guān),另一臺位于互聯(lián)網(wǎng)外部。如果連接成功,大量的內(nèi)部網(wǎng)絡(luò)信息可能會被泄露。
技術(shù)手段:
1、零日漏洞利用:黑客利用 MagicLine4NX 軟件中的零日漏洞,這是一種尚未被公開的漏洞,使得他們能夠未經(jīng)授權(quán)地訪問目標(biāo)系統(tǒng)。
2、供應(yīng)鏈攻擊:通過利用供應(yīng)鏈中的漏洞,黑客能夠繞過正常的安全措施,直接攻擊目標(biāo)系統(tǒng)。
3、數(shù)據(jù)同步與 C2 服務(wù)器連接:黑客利用數(shù)據(jù)同步功能將惡意代碼傳播到業(yè)務(wù)端服務(wù)器,并試圖與外部的 C2 服務(wù)器建立連接,以便進(jìn)一步控制和竊取數(shù)據(jù)。
參考鏈接:
https://www.zerofox.com/advisories/22471/
https://nvd.nist.gov/vuln/detail/CVE-2023-45797
攻擊案例三:針對加密貨幣的攻擊
目標(biāo):加密貨幣交易所、錢包、去中心化金融(DeFi)生態(tài)系統(tǒng)
攻擊時間:自 2018 年以來,尤其是 2023 年
攻擊過程與技術(shù)手段:
1、利用漏洞和被泄露的私鑰:朝鮮黑客利用被泄露的私鑰或種子短語的網(wǎng)絡(luò)釣魚和供應(yīng)鏈攻擊來入侵目標(biāo)。
2、跨鏈攻擊:他們特別針對跨鏈橋梁,如 Axie Infinity Ronin Bridge,以竊取大量虛擬貨幣。
多階段洗錢過程:朝鮮黑客在過去已經(jīng)使用過復(fù)雜的「多階段洗錢過程」來混淆資金的來源和去向。他們將盜取的虛擬貨幣先轉(zhuǎn)換為不同的代幣,再通過自動程序、混合器和跨鏈交換等方式進(jìn)行多次的混合和交換,以增加追蹤的難度。
3、利用去中心化交易所:他們將盜取的虛擬貨幣通過去中心化交易所換成以太幣,然后再進(jìn)行多次的混合和交換。
綜合以上案例,攻擊者可以竊取敏感數(shù)據(jù),包括機(jī)密業(yè)務(wù)信息、客戶數(shù)據(jù)和個人身份信息,導(dǎo)致隱私泄露和潛在的法律后果。由于黑客能夠完全控制目標(biāo)系統(tǒng),他們可能獲取到大量的敏感信息,包括企業(yè)的內(nèi)部數(shù)據(jù)、客戶資料等。Lazarus 的黑客行動不僅導(dǎo)致受害組織的數(shù)據(jù)泄露和系統(tǒng)損害,還可能對受害者的業(yè)務(wù)運(yùn)營造成嚴(yán)重影響。
這些攻擊通常涉及復(fù)雜的供應(yīng)鏈攻擊,使得防范和檢測變得更為困難。攻擊可能導(dǎo)致金融損失,包括惡意軟件清除、數(shù)據(jù)恢復(fù)和系統(tǒng)修復(fù)的成本,以及業(yè)務(wù)中斷造成的收入損失。黑客的攻擊導(dǎo)致了大量的虛擬貨幣被盜,這不僅對受害者造成了經(jīng)濟(jì)損失,還可能暴露他們的個人信息和交易數(shù)據(jù)。針對跨鏈橋梁的攻擊可能導(dǎo)致整個系統(tǒng)的癱瘓,影響交易的正常進(jìn)行。
為了應(yīng)對這樣的安全威脅,建議組織可以采取以下防范措施
1、及時修補(bǔ)漏洞:確保及時應(yīng)用安全補(bǔ)丁以修復(fù)已知漏洞。特別是在供應(yīng)鏈中使用的軟件和組件,通過 MetaScan 的自動化審計功能,可以及時發(fā)現(xiàn)并修補(bǔ)可能存在的漏洞。
2、強(qiáng)化供應(yīng)鏈安全:與供應(yīng)鏈合作伙伴建立安全合作關(guān)系,對軟件和組件進(jìn)行審查和驗(yàn)證,確保供應(yīng)鏈中的各個環(huán)節(jié)都不受黑客攻擊。借助 MetaScout 的監(jiān)控功能,可以動態(tài)更新黑名單,阻斷來自潛在朝鮮黑客地址的攻擊。
3、安全意識培訓(xùn):加強(qiáng)員工的安全意識培訓(xùn)。教育員工警惕水坑攻擊、惡意腳本和供應(yīng)鏈安全的重要性,以減少人為因素對安全的影響。Scantist 的 DevSecOps 解決方案可以為組織提供一站式的安全培訓(xùn)和指導(dǎo)。
4、網(wǎng)絡(luò)流量監(jiān)測:實(shí)施網(wǎng)絡(luò)流量監(jiān)測和入侵檢測系統(tǒng)(IDS/IPS),及時發(fā)現(xiàn)異?;顒雍凸粜袨?。MetaScout 的攻擊阻斷機(jī)制可以結(jié)合網(wǎng)絡(luò)流量監(jiān)測,及時識別并阻止黑客攻擊交易。
5、多層防御:采用多層防御措施,包括防火墻、入侵檢測系統(tǒng)、反病毒軟件等,以提高系統(tǒng)的安全性。MetaScan 的 Prover 功能可以與現(xiàn)有的安全工具和措施配合使用,形成更全面的防御體系。
6、持續(xù)監(jiān)測和響應(yīng):建立安全監(jiān)測和響應(yīng)機(jī)制,通過實(shí)時監(jiān)測網(wǎng)絡(luò)和系統(tǒng)活動,及時發(fā)現(xiàn)異常行為并采取適當(dāng)?shù)捻憫?yīng)措施,以最大限度地減少攻擊造成的損失。Scantist 的組件分析功能可以持續(xù)監(jiān)測軟件供應(yīng)鏈中的漏洞,并及時攔截有問題的開源和第三方組件。
7、加強(qiáng)加密貨幣交易所和錢包的安全措施:加密貨幣交易所和錢包應(yīng)加強(qiáng)其安全措施,如使用強(qiáng)密碼、定期更換私鑰、實(shí)施多層安全策略等。MetaScout 的阻斷機(jī)制可為加密貨幣交易所提供基于動態(tài)黑名單的攻擊阻斷保護(hù),確保用戶的數(shù)字資產(chǎn)安全。
8、定期審計與檢查:組織應(yīng)定期對系統(tǒng)進(jìn)行安全審計和檢查,以確保沒有潛在的安全漏洞。MetaScan 的自動化審計功能可幫助組織進(jìn)行全面的安全評估,并及時發(fā)現(xiàn)潛在的漏洞和風(fēng)險。
9、提高公眾意識:教育公眾關(guān)于網(wǎng)絡(luò)安全的重要性,讓他們了解如何保護(hù)自己的數(shù)字資產(chǎn)。組織可以通過宣傳活動、社交媒體等渠道提高公眾對網(wǎng)絡(luò)安全的認(rèn)識,并提供相關(guān)的安全建議和指導(dǎo)。
需要注意的是,安全威脅和防范建議應(yīng)根據(jù)實(shí)際情況和最新的安全情報進(jìn)行評估和定制。此外,定期備份和恢復(fù)數(shù)據(jù)、使用強(qiáng)密碼和多因素身份驗(yàn)證、限制特權(quán)訪問等也是提高安全性的有效措施。