作者:23pds & Thinking����;來(lái)源:慢霧科技
背景
自 2024 年 6 月以來(lái)��,慢霧安全團(tuán)隊(duì)陸續(xù)收到多家團(tuán)隊(duì)的邀請(qǐng)���,對(duì)多起黑客攻擊事件展開(kāi)取證調(diào)查����。經(jīng)過(guò)前期的積累以及對(duì)過(guò)去 30 天的深入分析調(diào)查���,我們完成了對(duì)黑客攻擊手法和入侵路徑的復(fù)盤���。結(jié)果表明�����,這是一場(chǎng)針對(duì)加密貨幣交易所的國(guó)家級(jí) APT 攻擊��。通過(guò)取證分析與關(guān)聯(lián)追蹤�����,我們確認(rèn)攻擊者正是 Lazarus Group����。
在獲取相關(guān) IOC(入侵指標(biāo))和 TTP(戰(zhàn)術(shù)����、技術(shù)與程序)后,我們第一時(shí)間將該情報(bào)同步給合作伙伴�����。同時(shí)����,我們還發(fā)現(xiàn)其他合作伙伴也遭遇了相同的攻擊方式和入侵手法。不過(guò)��,相較之下他們較為幸運(yùn) —— 黑客在入侵過(guò)程中觸發(fā)了部分安全告警����,在安全團(tuán)隊(duì)的及時(shí)響應(yīng)下,攻擊被成功阻斷����。
鑒于近期針對(duì)加密貨幣交易所的 APT 攻擊持續(xù)發(fā)生���,形勢(shì)愈發(fā)嚴(yán)峻�����,我們?cè)谂c相關(guān)方溝通后,決定對(duì)攻擊的 IOC 和 TTP 進(jìn)行脫敏處理并公開(kāi)發(fā)布�,以便社區(qū)伙伴能夠及時(shí)防御和自查��。同時(shí),受保密協(xié)議限制��,我們無(wú)法披露過(guò)多合作伙伴的具體信息�。接下來(lái),我們將重點(diǎn)分享攻擊的 IOC 和 TTP����。
攻擊者信息
攻擊者域名:
gossipsnare[.]com, 51.38.145.49:443
showmanroast[.]com, 213.252.232.171:443
getstockprice[.]info, 131.226.2.120:443
eclairdomain[.]com, 37.120.247.180:443
replaydreary[.]com, 88.119.175.208:443
coreladao[.]com
cdn.clubinfo[.]io
攻擊者 IP:
193.233.171[.]58
193.233.85[.]234
208.95.112[.]1
204.79.197[.]203
23.195.153[.]175
攻擊者的 GitHub 用戶名:
https://github.com/mariaauijj
https://github.com/patriciauiokv
https://github.com/lauraengmp
攻擊者的社交賬號(hào):
Telegram: @tanzimahmed88
后門程序名稱:
StockInvestSimulator-main.zip
MonteCarloStockInvestSimulator-main.zip
類似 …StockInvestSimulator-main.zip 等
真實(shí)的項(xiàng)目代碼:
?(https://github.com/cristianleoo/montecarlo-portfolio-management)
攻擊者更改后的虛假項(xiàng)目代碼:
對(duì)比后會(huì)發(fā)現(xiàn)�����,data 目錄多了一個(gè) data_fetcher.py 文件,其中包含一個(gè)奇怪的 Loader:
攻擊者使用的后門技術(shù)
攻擊者利用 pyyaml 進(jìn)行 RCE(遠(yuǎn)程代碼執(zhí)行)�,實(shí)現(xiàn)惡意代碼下發(fā)�,從而控制目標(biāo)電腦和服務(wù)器���。這種方式繞過(guò)了絕大多數(shù)殺毒軟件的查殺�。在與合作伙伴同步情報(bào)后,我們又獲取了多個(gè)類似的惡意樣本����。
關(guān)鍵技術(shù)分析參考:https://github.com/yaml/pyyaml/wiki/PyYAML-yaml.load(input)-Deprecation#how-to-disable-the-warning
慢霧安全團(tuán)隊(duì)通過(guò)對(duì)樣本的深入分析�,成功復(fù)現(xiàn)了攻擊者利用 pyyaml 進(jìn)行 RCE(遠(yuǎn)程代碼執(zhí)行)的攻擊手法�。
攻擊關(guān)鍵分析
目標(biāo)和動(dòng)機(jī)
目標(biāo):攻擊者的主要目標(biāo)是通過(guò)入侵加密貨幣交易所的基礎(chǔ)設(shè)施,獲取對(duì)錢包的控制權(quán)�,進(jìn)而非法轉(zhuǎn)移錢包中的大量加密資產(chǎn)��。
動(dòng)機(jī):試圖竊取高價(jià)值的加密貨幣資產(chǎn)。
技術(shù)手段
1. 初始入侵
攻擊者利用社會(huì)工程學(xué)手段�,誘騙員工在本地設(shè)備或 Docker 內(nèi)執(zhí)行看似正常的代碼�。
在本次調(diào)查中����,我們發(fā)現(xiàn)攻擊者使用的惡意軟件包括 `StockInvestSimulator-main.zip` 和 `MonteCarloStockInvestSimulator-main.zip`。這些文件偽裝成合法的 Python 項(xiàng)目��,但實(shí)則是遠(yuǎn)程控制木馬���,并且攻擊者利用 pyyaml 進(jìn)行 RCE�,作為惡意代碼的下發(fā)和執(zhí)行手段����,繞過(guò)了大多數(shù)殺毒軟件的檢測(cè)。
2. 權(quán)限提升
攻擊者通過(guò)惡意軟件成功獲取員工設(shè)備的本地控制權(quán)限�����,并且誘騙員工將 docker-compose.yaml 中的 privileged 設(shè)置為 true�����。
攻擊者利用 privileged 設(shè)置為 true 的條件進(jìn)一步提升了權(quán)限��,從而完全控制了目標(biāo)設(shè)備。
3. 內(nèi)部偵察和橫向移動(dòng)
攻擊者利用被入侵的員工電腦對(duì)內(nèi)網(wǎng)進(jìn)行掃描。
隨后���,攻擊者利用內(nèi)網(wǎng)的服務(wù)和應(yīng)用漏洞,進(jìn)一步入侵企業(yè)內(nèi)部服務(wù)器。
攻擊者竊取了關(guān)鍵服務(wù)器的 SSH 密鑰���,并利用服務(wù)器之間的白名單信任關(guān)系,實(shí)現(xiàn)橫向移動(dòng)至錢包服務(wù)器。
4. 加密資產(chǎn)轉(zhuǎn)移
攻擊者成功獲得錢包控制權(quán)后�,將大量加密資產(chǎn)非法轉(zhuǎn)移至其控制的錢包地址����。
5. 隱藏痕跡
攻擊者利用合法的企業(yè)工具�、應(yīng)用服務(wù)和基礎(chǔ)設(shè)施作為跳板,掩蓋其非法活動(dòng)的真實(shí)來(lái)源,并刪除或破壞日志數(shù)據(jù)和樣本數(shù)據(jù)�����。
過(guò)程
攻擊者通過(guò)社會(huì)工程學(xué)手段誘騙目標(biāo)�,常見(jiàn)方式包括:
1. 偽裝成項(xiàng)目方,尋找關(guān)鍵目標(biāo)開(kāi)發(fā)人員,請(qǐng)求幫助調(diào)試代碼�����,并表示愿意提前支付報(bào)酬以獲取信任���。
我們追蹤相關(guān) IP 和 ua 信息后發(fā)現(xiàn)���,這筆交易屬于第三方代付���,沒(méi)有太多價(jià)值���。
2. 攻擊者偽裝成自動(dòng)化交易或投資人員����,提供交易分析或量化代碼,誘騙關(guān)鍵目標(biāo)執(zhí)行惡意程序。一旦惡意程序在設(shè)備上運(yùn)行��,它會(huì)建立持久化后門���,并向攻擊者提供遠(yuǎn)程訪問(wèn)權(quán)限��。
攻擊者利用被入侵設(shè)備掃描內(nèi)網(wǎng)�����,識(shí)別關(guān)鍵服務(wù)器,并利用企業(yè)應(yīng)用的漏洞進(jìn)一步滲透企業(yè)網(wǎng)絡(luò)��。所有攻擊行為均通過(guò)被入侵設(shè)備的 VPN 流量進(jìn)行��,從而繞過(guò)大部分安全設(shè)備的檢測(cè)���。
一旦成功獲取相關(guān)應(yīng)用服務(wù)器權(quán)限,攻擊者便會(huì)竊取關(guān)鍵服務(wù)器的 SSH 密鑰���,利用這些服務(wù)器的權(quán)限進(jìn)行橫向移動(dòng),最終控制錢包服務(wù)器�,將加密資產(chǎn)轉(zhuǎn)移到外部地址�。整個(gè)過(guò)程中�,攻擊者巧妙利用企業(yè)內(nèi)部工具和基礎(chǔ)設(shè)施,使攻擊行為難以被快速察覺(jué)�����。
攻擊者會(huì)誘騙員工刪除調(diào)試運(yùn)行的程序�����,并且提供調(diào)試報(bào)酬�����,以掩蓋攻擊痕跡。
此外�����,由于部分受騙員工擔(dān)心責(zé)任追究等問(wèn)題����,可能會(huì)主動(dòng)刪除相關(guān)信息,導(dǎo)致攻擊發(fā)生后不會(huì)及時(shí)上報(bào)相關(guān)情況��,使得排查和取證變得更加困難�����。
應(yīng)對(duì)建議
APT(高級(jí)持續(xù)性威脅)攻擊因其隱蔽性強(qiáng)�、目標(biāo)明確且長(zhǎng)期潛伏的特點(diǎn)��,防御難度極高。傳統(tǒng)安全措施往往難以檢測(cè)其復(fù)雜的入侵行為�,因此需要結(jié)合多層次網(wǎng)絡(luò)安全解決方案�,如實(shí)時(shí)監(jiān)控����、異常流量分析、端點(diǎn)防護(hù)與集中日志管理等�,才能盡早發(fā)現(xiàn)和感知攻擊者的入侵痕跡��,從而有效應(yīng)對(duì)威脅。慢霧安全團(tuán)隊(duì)提出 8 大防御方向和建議,希望可以為社區(qū)伙伴提供防御部署的參考:
1. 網(wǎng)絡(luò)代理安全配置
目標(biāo):在網(wǎng)絡(luò)代理上配置安全策略,以實(shí)現(xiàn)基于零信任模型的安全決策和服務(wù)管理。?
解決方案:Fortinet (https://www.fortinet.com/), Akamai (https://www.akamai.com/glossary/where-to-start-with-zero-trust), Cloudflare (https://www.cloudflare.com/zero-trust/products/access/) 等����。
2. DNS 流量安全防護(hù)
目標(biāo):在 DNS 層實(shí)施安全控制��,檢測(cè)并阻止解析已知惡意域名的請(qǐng)求����,防止 DNS 欺騙或數(shù)據(jù)泄露���。?
解決方案:Cisco Umbrella (https://umbrella.cisco.com/) 等���。
3. 網(wǎng)絡(luò)流量/主機(jī)監(jiān)控與威脅檢測(cè)
目標(biāo):分析網(wǎng)絡(luò)請(qǐng)求的數(shù)據(jù)流���,實(shí)時(shí)監(jiān)測(cè)異常行為�����,識(shí)別潛在攻擊(如 IDS/IPS)���,服務(wù)器安裝 HIDS�����,以便盡早發(fā)現(xiàn)攻擊者的漏洞利用等攻擊行為���。?
解決方案:SolarWinds Network Performance Monitor (https://www.solarwinds.com/), Palo Alto (https://www.paloaltonetworks.com/), Fortinet (https://www.fortinet.com/), 阿里云安全中心 (https://www.alibabacloud.com/zh/product/security_center), GlassWire (https://www.glasswire.com/) 等����。
4. 網(wǎng)絡(luò)分段與隔離
目標(biāo):將網(wǎng)絡(luò)劃分為較小的、相互隔離的區(qū)域,限制威脅傳播范圍,增強(qiáng)安全控制能力�����。?
解決方案:Cisco Identity Services Engine (https://www.cisco.com/site/us/en/products/security/identity-services-engine/index.html)�,云平臺(tái)安全組策略等。
5. 系統(tǒng)加固措施
目標(biāo):實(shí)施安全強(qiáng)化策略(如配置管理、漏洞掃描和補(bǔ)丁更新),降低系統(tǒng)脆弱性��,提升防御能力��。?
解決方案:Tenable.com (https://www.tenable.com/), public.cyber.mil (https://public.cyber.mil) 等��。
6. 端點(diǎn)可見(jiàn)性與威脅檢測(cè)
目標(biāo):提供對(duì)終端設(shè)備活動(dòng)的實(shí)時(shí)監(jiān)控,識(shí)別潛在威脅,支持快速響應(yīng)(如 EDR),設(shè)置應(yīng)用程序白名單機(jī)制�,發(fā)現(xiàn)異常程序并及時(shí)告警�����。
解決方案:CrowdStrike Falcon (https://www.crowdstrike.com/), Microsoft Defender for Endpoint (https://learn.microsoft.com/en-us/defender-endpoint/microsoft-defender-endpoint), Jamf (https://www.jamf.com/) 或 WDAC (https://learn.microsoft.com/en-us/hololens/windows-defender-application-control-wdac) 等。
7. 集中日志管理與分析
目標(biāo):將來(lái)自不同系統(tǒng)的日志數(shù)據(jù)整合到統(tǒng)一平臺(tái),便于安全事件的追蹤����、分析和響應(yīng)���。
解決方案:Splunk Enterprise Security (https://www.splunk.com/), Graylog (https://graylog.org/), ELK (Elasticsearch, Logstash, Kibana) 等���。
8. 培養(yǎng)團(tuán)隊(duì)安全意識(shí)
目標(biāo):提高組織成員安全意識(shí)����,能夠識(shí)別大部分社會(huì)工程學(xué)攻擊���,并在出事后主動(dòng)上報(bào)異常�����,以便更及時(shí)進(jìn)行排查。
解決方案:區(qū)塊鏈黑暗森林自救手冊(cè) (https://darkhandbook.io/), Web3 釣魚(yú)手法分析 (https://github.com/slowmist/Knowledge-Base/blob/master/security-research/Web3%20%E9%92%93%E9%B1%BC%E6%89%8B%E6%B3%95%E8%A7%A3%E6%9E%90.pdf) 等���。
此外,我們建議周期性開(kāi)展紅藍(lán)對(duì)抗的演練�����,以便識(shí)別出安全流程管理和安全防御部署上的薄弱點(diǎn)�����。
寫在最后
攻擊事件常常發(fā)生在周末及傳統(tǒng)節(jié)假日期間����,給事件響應(yīng)和資源協(xié)調(diào)帶來(lái)了不小的挑戰(zhàn)。在這一過(guò)程中,慢霧安全團(tuán)隊(duì)的 23pds(山哥), Thinking, Reborn 等相關(guān)成員始終保持警覺(jué)��,在假期期間輪班應(yīng)急響應(yīng)�,持續(xù)推進(jìn)調(diào)查分析。最終,我們成功還原了攻擊者的手法和入侵路徑���。
回顧本次調(diào)查,我們不僅揭示了 Lazarus Group 的攻擊方式,還分析了其利用社會(huì)工程學(xué)、漏洞利用�����、權(quán)限提升�、內(nèi)網(wǎng)滲透及資金轉(zhuǎn)移等一系列戰(zhàn)術(shù)�����。同時(shí)���,我們基于實(shí)際案例總結(jié)了針對(duì) APT 攻擊的防御建議�����,希望能為行業(yè)提供參考,幫助更多機(jī)構(gòu)提升安全防護(hù)能力�,減少潛在威脅的影響�。網(wǎng)絡(luò)安全對(duì)抗是一場(chǎng)持久戰(zhàn)�,我們也將持續(xù)關(guān)注類似攻擊,助力社區(qū)共同抵御威脅����。
喜來(lái)順財(cái)經(jīng)
