지난 AMA에서 저는 @benbybit의 상사와 이것이 APT 고급 침투 공격일 가능성이 있는지에 대해 간략히 논의했지만, 그것이 내부 침투 공격인지 여부에 대해서는 명확하게 언급하지 않았습니다. 하지만 조사 결과가 SlowMist의 최신 보고서에 따르면, 북한 해커 조직인 라자루스 그룹은 어떻게 거래소를 대상으로 정교한 APT 침투 공격을 감행했을까요? 다음은 논리에 대한 간단한 설명입니다.
사회공학 공격:
1) 해커는 프로젝트 소유자, 투자자, 제3자 파트너 등을 가장하여 먼저 해당 회사의 개발자에게 연락합니다. (이러한 유형의 사회 공학적 방법은 매우 일반적입니다.)
2) 디버깅 코드나 테스트 툴, 시장 분석 프로그램 등의 개발을 권장한다는 명분으로 직원들에게 악성 프로그램을 실행하도록 유도(기만이나 변조가 이뤄졌을 가능성 있음)
3) 악성 프로그램이 해킹된 후 원격 코드 실행 권한을 획득할 수 있으며, 직원들이 권한 상승을 유도하여 측면 침투를 수행할 수 있습니다.
인트라넷 침투 프로세스:
1) 침해 지점이 하나인 인트라넷 노드를 사용하여 인트라넷 시스템을 스캔하고 주요 서버의 SSH 키를 훔치고 화이트리스트 신뢰 관계를 사용하여 측면 이동을 수행하여 더 많은 제어 권한을 확보하고 악성 프로그램의 적용 범위를 확장합니다.
2) 지속적인 인트라넷 침투를 통해 최종적으로 대상 지갑 관련 서버를 확보하고 백엔드 스마트 계약 프로그램과 다중 서명 UI 프런트엔드를 변경하여 대체를 실현합니다.
Lazarus APT 고급 지속 침투 공격 원리, 인기 있는 버전:
거래소의 암호화폐 콜드 월렛을 고급 사무실 빌딩의 최상층에 위치한 특별한 금고라고 생각해 보세요.
일반적으로 이 볼트에는 엄격한 보안 조치가 있습니다. 각 전송 정보를 보여주는 디스플레이 화면이 있으며, 각 작업에는 여러 임원이 동시에 있어야 하며, 화면에 있는 정보를 함께 확인해야 합니다(예: "XXX 금액의 ETH가 XX 주소로 전송됩니다"). 모든 임원이 올바른지 확인한 후에야 전송이 완료될 수 있습니다.
그러나 신중하게 계획된 침투 공격을 통해 해커는 먼저 사회 공학적 방법을 사용하여 건물의 "액세스 카드"(즉, 초기 컴퓨터를 해킹)를 얻었습니다. 건물에 성공적으로 들어간 후, 그는 핵심 개발자의 "사무실 열쇠"를 복사하는 데 성공했습니다(중요한 권한을 얻었습니다). 해커는 이 "키"를 이용해 더 많은 "사무실"에 잠입할 수 있다(시스템 내부로 측면 침투를 수행해 더 많은 서버를 제어할 수 있다).
마지막으로 우리는 금고를 제어하는 핵심 시스템에 대해 살펴보았습니다. 해커는 디스플레이 화면 프로그램을 변경했을 뿐만 아니라(다중 서명 UI 인터페이스를 조작) 금고 내부의 전송 프로그램도 수정했습니다(스마트 계약을 변경). 임원들이 디스플레이 화면의 정보를 보았을 때, 그들은 실제로 조작된 허위 정보를 보았고, 진짜 자금은 해커가 통제하는 주소로 이체되었습니다.
참고: 위의 내용은 Lazarus 해커 그룹이 사용하는 일반적인 APT 침투 공격 방법일 뿐입니다. @Bybit_Official 사건에 대한 최종적이고 결정적인 분석 보고서는 없으므로 참조용일 뿐이며 개인적으로 받아들이지 마십시오!
하지만, 저는 결국 @benbybit 사장님께 제안을 드리고 싶습니다. Safe는 DAO 조직에 더 적합한 자산 관리 방법입니다. 정상적인 호출 실행에만 관심이 있고 호출의 합법성 검증에는 관심이 없습니다. 시장에는 FireBlocks 및 RigSec과 같은 더 나은 로컬 내부 통제 시스템 관리 솔루션이 많이 있으며, 자산 보안, 권한 제어 및 운영 감사 측면에서 더 나은 지원 성능을 제공할 것입니다.