在上次AMA 中，圍繞是不是潛在APT 高級滲透攻擊和@benbybit 老闆進行了簡單溝通，並沒有明確定論是不是針對內部的滲透攻擊。但如果調查結果是，按照慢霧最新的報告來看，北韓駭客組織Lazarus Group 面向交易所的精密APT 滲透攻擊是如何實現的？以下，簡單科普下邏輯：

社會工程學攻擊：

1）駭客先偽裝成專案方、投資人、第三方合作夥伴等聯絡到公司的開發人員；（這種社工手段很常見）

2）以調試程式碼或推薦開發測試工具、市場分析程式等為由，誘導員工執行惡意程式；（是被騙還是被策反都存在可能性）

3）完成惡意程式入侵後即可取得遠端程式碼執行權限，並進一步誘導員工取得權限提升並橫向滲透；

內部網路滲透流程：

1）利用單點突破的內網節點進行內網系統掃描，竊取關鍵伺服器的SSH 金鑰，並利用白名單信任關係橫向移動，取得更多控制權限並擴大惡意程式覆蓋；

2）透過持續的內部網路滲透，最終獲得目標錢包關聯伺服器，並更改後端智慧合約程式以及多重簽署UI 前端，實現偷梁換柱；

Lazarus APT 高階持續性滲透攻擊原理，通俗版本：

把交易所的加密貨幣冷錢包想像成位於高級辦公室頂層的特殊保險庫。

在正常情況下，這個保險庫有著嚴格的安全措施：有一個顯示屏用於展示每筆轉賬信息，每次操作都需要多位高管同時到場，需要一起確認顯示屏上的信息（比如“正在向XX 地址轉賬XXX 數量的ETH”），只有在所有高管都確認無誤後，轉賬才能完成。

然而，駭客透過精心策劃的滲透攻擊，首先利用社工手段獲得了大樓的「門禁卡」（也就是入侵了初始電腦），成功混入大樓後，又設法複製了一位核心開發人員的「辦公室鑰匙」（取得了重要權限）。有了這把「鑰匙」，駭客就能悄悄潛入更多「辦公室」（在系統內部進行橫向滲透，取得更多伺服器的控制權）。

最後摸到了控制保險庫的核心系統。駭客不僅更改了顯示器程序（篡改了多簽UI 介面），還修改了保險庫內部的轉帳程序（更改了智能合約），這樣當高管們看到顯示屏上的信息時，看到的其實是經過篡改的虛假信息，而真實的資金則被轉移到了黑客控制的地址。

Note：以上只是lazarus 駭客組織的慣用APT 滲透攻擊方法，@Bybit_Official 事件目前並沒有最終確鑿的分析報告出來，因此僅作為參考，切勿對號入座！

不過，最後還是給@benbybit 老闆提個建議，Safe 這種更適合DAO 組織的資產管理方式，只管正常調用執行，並不管調用的合法性驗證，市場上有不少FireBlocks、RigSec 之類更優的本地內控系統管理方案，在資產安全、管控、操作審計等方面都會有更好的配套表現。