Lapsus$黑客组织入侵事件带来的安全启示

文｜腾讯安全朱雀实验室 VK

最近安全圈最火的话题，没有之一，那就是微软被黑客攻击并有250多个项目共37G的源代码泄露，涉及项目包括Bing搜索、Bing地图和Cortana语音助手等。作为攻防老兵，得知此事，震惊的同时也颇有感触，遂成此文，权当抛砖引玉。

在开始正文之前，先抛三个问题：

微软真的被黑客入侵了吗？
是的 。

入侵者是谁？
Lapsus$ ，一个新秀黑客组织，2021年12月以入侵巴西卫生部而声名鹊起。此后的时间里，更是每月至少做一个大单，沦陷巨头包括英伟达、三星、沃达丰，直至今日的微软。这个组织和传统的商业犯罪黑客有一个很大的不同——非常喜欢show，为了展示一路上的“战利品”，它专门建了一个Telegram频道 ，将各种截图和数据逐一陈列、公诸于世。

微软的安全是不是做得很糟糕？

不，恰恰相反，微软是安全行业的巨无霸。微软一直相当重视企业安全，其安全、合规、身份与管理部门的员工超过 1 万人，占微软员工总人数（约 20 万人）的 5%。在To B市场上，微软安全服务在2021年的营收更是高达 150亿美金 。应该说，在网络安全的投入和收入上，微软其实已成为行业的巨无霸。

2022年3月20日，Lapsus$在其Telegram频道上公布了微软Azure DevOps平台的截图，证明了其已经进入微软内网；

2022年3月21日，Lapsus$继续发布了对应37G源代码的种子文件MS.7z.torrent；

2022年3月22日，微软在其官网发布了名为DEV-0537攻击的入侵分析报告确认攻击事件确实存在，并表明调查仍在进行中。

根据当前发布的报告，微软似乎并没有准确掌握本次入侵事件的最初入口在哪，而是枚举了Lapsus$常见的4种入侵手法：

1. 部署恶意Redline密码窃取程序以获取密码和会话令牌（Redline是一种木马程序）

2. 从犯罪地下论坛购买密码和会话令牌（向其他黑客组织购买，这类做法其实在地下交易中很常见）

3. 向目标组织或其供应商、业务合作伙伴的员工支付密码或二次认证口令的费用（你没看错，就是直接向员工买密码）

4. 在公共代码存储库中搜索公开的凭据（其实早期在Github上，也能搜到大量的腾讯相关密码、令牌）

我们重点来看一下第3种手段，可以说是非常直接、暴力但有效。3月10日，Lapsus$在Telegram上明码标价发出了一则招聘启事，且看内容：

点名需要电信运营商类公司或者Microsoft、Apple、IBM等巨头企业的员工能够配合提供VPN、Citrix、Anydesk权限。

乍一听这事非常不靠谱，对吧？然而，当你知道Lapsus$为此开出的报酬是多少之后，我想你会收回你的想法。周薪高达2万美金，也就是相当于一个月8万美金，折合人民币50万/月，核算成年薪则是惊人的600万/年，而且没有税的概念。

屏幕前的读者，你是不是也为之有一丝心动？好的，vk在这里郑重提醒：年轻人，你的想法很危险。

上文提到的“购买密码”的做法，在安全行业，我们通常称其为“社会工程学攻击”。对于这一名词，维基百科是这样解释的：

社会工程学是指对人进行心理操纵，使其采取行动或泄露机密信息 。
试想一下这些场景：

• 一封和你的股票归属时间吻合的归属确认邮件

• 一个自称是猎头的人给你发来的年薪百万职位介绍

• 一个提醒你账号可能被异地登录要求你立刻重置密码的安全告警提醒

如果上述的这些，你都有自信能一一识破，那么请看一下下面这张图：

大家看上面的Gmail告警，你认为这是钓鱼邮件吗？可以在留言中写下你的答案。

当下互联网账户体系，通过手机短信验证码可以重置绝大部分的密码或者直接登录业务，针对SIM卡的攻击应运而生。

SIM卡交换攻击

在微软披露的报告中，还有一个手法值得注意：SIM卡交换攻击 。名字非常玄乎对吧，实际上就是：冒充你给SIM卡运营商打电话，挂失补办一张SIM卡。就这么一个手法，在2018年1月至2020年12月之间，FBI互联网犯罪投诉中心就收到了320起总金额高达1200 万美元的报案。而2021年一年，这一数字更是上升到了1611起涉案6800 万美元。

SIM卡克隆攻击

2015年，全球最大的SIM卡芯片制造商Gemalto遭到黑客入侵，SIM卡的关键秘钥KI疑似遭到窃取。SIM卡克隆是一个非常专业的技术过程，但核心的参数只有两个IMSI、KI：

IMSI，全称International Mobile Subscriber Identification Number，国际移动用户识别码，相当于你SIM卡的用户名；

Ki (Key identifier)，网络验证秘钥，也是SIM克隆的关键。

Ki一般存储在两类公司：电信运营商和SIM卡制造商，这也就呼应了为何Lapsus$的招聘启事中会有电信运营商类目标，而上文的Gemalto则是SIM卡制造商。

攻击者在完成SIM卡克隆后，会发生什么？我们可以称其为“顶卡”，也就是两张SIM卡都有效，但只允许最后接入网络的这张卡在网。这一特性，使得实际攻击场景下的效果非常可怕：

1. 通过特殊渠道取得IMSI和Ki
2. 在目标用户睡梦中完成SIM卡克隆并接入网络
3. 触发重置密码或短信验证动作，由于被攻击者的SIM被“顶卡”离线，因此不会收到短信验证码
4. 攻击者利用短信验证码重置密码或者直接登录相关业务
5. 目标用户睡到自然醒

两点启示

1. MFA并非牢不可破。MFA（Multi-factor authentication，双因子认证）可以很大程度上提升传统的静态密码验证模式的安全系数，但近年来针对MFA场景下的钓鱼攻击已经日趋成熟，同时类似Lapsus$攻击手法中“高薪”招聘内鬼的场景中MFA会直接由目标公司员工提供。一旦MFA机制遭到突破，攻击者往往能够通过VPN直接接入企业内网，内网业务和数据将直接暴露在黑客的枪口之下。

2.合法掩护非法会是反入侵工作中的巨大挑战。反入侵工作的本质是识别异常进程、流量和行为，这也是很多安全防御体系的根基。然而在白加黑技术、合法数字签名盗用、域名前置技术等技术的加持下，攻击者在极尽所能地伪装成合法用户，甚至合法用户可能就是黑客团伙的一部分，这会给当下的反入侵体系造成巨大挑战。

每个企业都没法拍着胸脯说自己会永远不被入侵，谁能保证所有的人在应对精心设计的社会工程学攻击中能够目光如炬、火眼金睛、自带抗体呢？当然，无限放大这里的恐惧也不合理，因为黑客进入企业之后，能够待多久，能够走多远，取决于企业安全体系的防护水平，企业安全团队的价值也在于此。

参考来源：

1.Criminals Increasing SIM Swap Schemes to Steal Millions of Dollars from US Public，https://www.ic3.gov/Media/Y2022/PSA220208
2.DEV-0537 criminal actor targeting organizations for data exfiltration and destruction，https://www.microsoft.com/security/blog/2022/03/22/dev-0537-criminal-actor-targeting-organizations-for-data-exfiltration-and-destruction/
3.https://www.shellcodes.org/Hacking/SIM%E5%8D%A1%E5%AE%89%E5%85%A8.html

小广告时间：

容器安全也是当下企业和开发者关注的热门问题之一，不久前，腾讯安全云鼎实验室发布了《容器安全在野攻击调查》，引起了业内很多讨论和关注，我们也请来了《调查》编纂团队的两位成员为我们做详细讲解和交流。30号晚上19:00，不见不散。

原文始发于微信公众号（腾讯安全联合实验室）：Lapsus$黑客组织入侵事件带来的安全启示