红色警报:交易所接连被黑的防御建议

近期多家数字货币交易所接连被黑,慢雾安全团队在跟踪分析攻击样本后发现其中一个重要的攻击手法为 APT(Advanced Persistent Threat :高级持续性威胁)攻击。结合从各慢雾区伙伴获取到的情报信息以及攻击样本分析得出结论为:「职业黑

近期多家数字货币交易所接连被黑,慢雾安全团队在跟踪分析攻击样本后发现其中一个重要的攻击手法为 APT(Advanced Persistent Threat :高级持续性威胁)攻击。结合从各慢雾区伙伴获取到的情报信息以及攻击样本分析得出结论为:

「职业黑客(攻击者)开始针对 数字货币 交易所开启了定向打击。」

这些攻击者往往是团队作战,会对目标“猎物”进行持续数月的、广泛性的钓鱼、诱捕、投放等攻击过程。针对 数字货币 领域,业务场景有许多共性,比如 Mac 电脑使用居多,云服务如 AWS、Google 云、阿里云,邮箱服务如腾讯企业邮箱、Gmail 等,攻击者会针对性准备特殊木马,以量化、抢额度、薅羊毛等币圈热点进行诱导性攻击,这是一种典型的 APT 攻击过程,虽然不一定要用到特别高级的手法。

由于在上一轮牛市中, 数字货币 交易所疯狂扩张,安全、技术团队没有跟上交易所的快速发展,在预警、风控技术方面较为薄弱。在面对这种职业黑客的攻势时没有什么经验,可能因此导致遭受巨额损失。

慢雾安全团队建议各方交易所加强安全建设,做好风控和内控安全做到:“早发现,早预警,早止损。

早发现

(1) 服务器异常登陆早发现

(2) 服务器端口异常开放早发现

(3) 服务器配置被修改早发现

(4) 交易所收益异常早发现

(5) 交易所零钱归集异常早发现

(6) 交易所对账异常早发现

(7) 冷、温、热钱包地址被篡改早发现。

(8) 陌生邮件不要轻易打开,邮件中的文件下载和链接随便点击打开

(9) 工作或个人电脑不要直接安装陌生软件

早预警

(1) 交易所大额充值早预警

(2) 交易所大额提币早预警

(3) 交易所多账号异常登陆早预警

(4) 交易所热钱包突然异常被提空早预警

(5) 发现团队收到异常邮件和文件及时内部通知预警,做好安全意识培训,做好预警演练

早止损

(1) 热钱包提空后及时对账有无异常,确认无异常后再次转入

(2) 当系统预警内部告警后能够全自动拦截大额提币,并且只能通过人工确认无误后放行

(3) 勤对账及时发现账目异常,对账异常后及时关闭冲提止损

针对 APT 攻击的详细分析我们也看到了同行的一些分析,可以作为扩展参考:

·https://www.zdnet.com/article/north-korean-hackers...

·https://mp.weixin.qq.com/s/RjOzQm2ALrGkBA40Re0F1g

不过,以我们所掌握的情报来看还远不止于此,在真实攻击场景下,我们还发现一些非常具有 区块链 技术特点的攻击手法,比如“假充值攻击”,且已经造成巨额损失。这类攻击手法不一定来自传统职业黑客,可能来自 区块 链 技术领域新的黑客(攻击者)。由于一些保密要求,我们不做具体细节披露,但在此我们需要再次发出预警:警惕曾经披露的假充值攻击,也警惕最近新起公链的假充值可能性。

历史上我们披露过 USDT 假充值EOS 假充值XRP 假充值ERC20 Token 假充值等,相关资料如下,可以作为细节参考:

(1) USDT 假充值:https://mp.weixin.qq.com/s/CtAKLNe0MOKDyUFaod4_hw

(2) EOS 假充值: https://mp.weixin.qq.com/s/fKINfZLW65LYaD4qO-21nA

(3) XRP 假充值:https://developers.ripple.com/partial-payments.htm...

(4) 以太坊代币假充值:https://mp.weixin.qq.com/s/3cMbE6p_4qCdVLa4FNA5-A

除了这些,需要特别注意:对于新上线的公链假充值问题也保持警惕,新事物在安全策略上不一定很完善,在对接时应该做好紧密细致的技术和业务对称,并做好充足的安全测试。

以我们的经验来看, 数字货币 领域,虽然在熊市,但攻击者的屠戮步伐从未停止。攻防对抗下,当下的防守方处于绝对的弱势,无论传统职业黑客还是新型黑客,攻击手法会从单一走向组合拳,这对于 数字货币 相关项目方来说是个严峻且急迫的挑战。我们不希望危言耸听

声明:本文来自imtoken平台用户投稿,观点仅代表作者本人,不代表【imtoken-www.5798.com.cn】立场,文章内容仅供参考,如若转载请标注文章来源:【当前页面链接】

区块链相关

区块链媒体相关

区块链技术相关

挖矿相关

比特币相关