對(duì)于兩年前就已經(jīng)開始流行的APT攻擊，國內(nèi)外很多媒體都給予了充分的報(bào)道，從技術(shù)解析到實(shí)際攻擊案例，一時(shí)間似乎這種高級(jí)網(wǎng)絡(luò)威脅充斥著整個(gè)信息安全領(lǐng)域，再無其他威脅可以入流了。

俗話說有人歡喜有人愁，有遭受攻擊的企業(yè)，對(duì)于這種情況，很多企業(yè)都不愿述說自身的遭遇，因?yàn)槟呛軄G人，哪怕造成了不可挽回的損失，也不愿將家丑外揚(yáng)。事實(shí)上，像這樣企業(yè)還有很多，只是人們都不知道罷了，其實(shí)這種低調(diào)心態(tài)可以理解，只要沒上升到公眾層面，其他一切都可以低調(diào)，國際上是這樣的，國內(nèi)也是這樣的。 

不過，還有一種情況，是遭受了攻擊但沒有造成損失的企業(yè)，這種情況并不多見，不過，但凡有一例這樣的事情，那一定會(huì)被宣傳的，要么是媒體，要么是提供安全技術(shù)或防御解決方案的安全廠商。

如果這兩種情況同一時(shí)間，因同一ATP攻擊而出現(xiàn)，那就有意思多了。恰巧上個(gè)月，也就是2013 年3月20日，這兩種情況就同時(shí)出現(xiàn)在我們的鄰邦——“韓國”。

大致的情況是這樣的：3月20下午，韓國多家大型銀行及數(shù)家媒體相繼出現(xiàn)多臺(tái)電腦丟失畫面的情況，有些電腦的顯示屏上甚至出現(xiàn)骷髏頭的圖像以及來自名為“WhoIs”團(tuán)體的警告信息，繼而無法啟動(dòng)。令人意想不到的是，多數(shù)銀行和媒體遭受攻擊僅僅是韓國在同一時(shí)間遭受的多起攻擊之一，同一時(shí)刻還有更多的企業(yè)業(yè)務(wù)運(yùn)行出現(xiàn)中斷的情況，內(nèi)網(wǎng)計(jì)算機(jī)黑屏、網(wǎng)絡(luò)凍結(jié)，信息系統(tǒng)幾乎癱瘓，等到業(yè)務(wù)完全恢復(fù)時(shí)，已經(jīng)是4-5天之后了。

事實(shí)上，這是一次典型的APT攻擊，受影響最大的是韓國多家金融機(jī)構(gòu)和媒體，不過其中有些銀行和媒體并未造成損失，并非他們沒有遭受攻擊，而是因?yàn)樗麄冇辛讼鄬?duì)完善的防御技術(shù)和措施，才使得他們能夠幸免于難。根據(jù)他們監(jiān)測，這是一次惡意程序攻擊的結(jié)果。黑客一開始假冒銀行發(fā)送主題為“三月份信用卡交易明細(xì)”的釣魚郵件，該郵件包含兩個(gè)附件，一個(gè)是無害的“card.jpg”，另一個(gè)是名為“您的賬戶交易歷史”的惡意.rar文件，它會(huì)連接數(shù)個(gè)惡意IP地址并下載9個(gè)文件。企業(yè)內(nèi)部的中央更新管理服務(wù)器也會(huì)因?yàn)樵馐苋肭侄恢踩霅阂獬绦?，惡意程序?huì)通過更新管理機(jī)制快速的散播到所有連接此服務(wù)器的計(jì)算機(jī)。并新增數(shù)個(gè)組件，其中包含一個(gè)定名為“TROJ_KILLMBR.SM”的硬盤主引導(dǎo)記錄（Master Boot Record，簡稱MBR）修改器，修改器會(huì)覆蓋企業(yè)電腦中的MBR信息，造成系統(tǒng)無法啟動(dòng)。

黑客設(shè)定該惡意程序在 2013 年3月20日同步爆發(fā)，當(dāng)設(shè)定的時(shí)間到達(dá)之后，“TROJ_KILLMBR.SM”會(huì)復(fù)寫MBR并且自動(dòng)重啟系統(tǒng)，讓此次破壞行動(dòng)生效。惡意程序會(huì)利用保存的登錄信息嘗試連接SunOS、AIX、HP-UX與其他Linux服務(wù)器，然后刪除服務(wù)器上的MBR與文件。一旦爆發(fā)，企業(yè)電腦系統(tǒng)會(huì)完全癱瘓，必須逐一重裝系統(tǒng)才能恢復(fù)。

對(duì)于終端電腦來說，如果用戶使用的是Windows Vista或是更新的版本，惡意程序會(huì)搜尋所有固定或移動(dòng)硬盤中文件夾里的全部文件，用重復(fù)的單詞去復(fù)寫文件，然后刪除這些文件與文件夾；如果用戶使用的是Windows Vista等舊版本的操作系統(tǒng)，它會(huì)復(fù)寫所有固定或移動(dòng)硬盤的卷引導(dǎo)記錄（volume boot record），造成磁盤故障。

知道了原因，也就不難對(duì)癥下藥，3月20日，那些遭受到攻擊但沒有造成損失的企業(yè)，無一例外的使用了趨勢科技的TDA（威脅防御系統(tǒng)）來監(jiān)測整個(gè)IT架構(gòu)的數(shù)據(jù)動(dòng)態(tài)，第一時(shí)間利用TDA的沙盒分析出上述的惡意行為，并找出了相關(guān)郵件中的惡意附件……

到這里或許大家已經(jīng)清晰了幾個(gè)關(guān)鍵點(diǎn)：韓國上個(gè)月遭受了ATP大范圍攻擊、有人歡喜有人愁、利用沙盒是有效的防御手段……，事情到這里似乎已經(jīng)結(jié)束了。不過，很多人或許都不會(huì)注意的是：TDA通過沙盒分析找出了相關(guān)的惡意附件，然后呢？

然后的事情，就是人的參與。

目前來說，面對(duì)APT攻擊還很難做到智能處理，當(dāng)IT運(yùn)維管理人員收到了相關(guān)設(shè)備的報(bào)警后，第一時(shí)間人為阻斷惡意附件，是非常重要的環(huán)節(jié)，往往我們都忽視掉這個(gè)環(huán)節(jié)，要么是收到相關(guān)報(bào)警，沒及時(shí)處理，要么是根本沒有及時(shí)都到報(bào)警。總之，防御APT攻擊并不是安全設(shè)備的事，人也要參與其中，認(rèn)識(shí)到這一點(diǎn)，將直接提升貴單位的安全防御等級(jí)。

當(dāng)然，所有這些防御手段都需要制定一個(gè)非常好的防御策略，如趨勢科技的思路就可以用來借鑒：監(jiān)測——分析——加固——響應(yīng)，雖然這屬于比較傳統(tǒng)的防御思路，但無疑是有效的。

從“韓國”APT事件本身我們也可以得到一些啟示：

◆一切從社會(huì)工程開始，是否能夠有效監(jiān)測并阻擋惡意行為？

◆是否能夠第一時(shí)間做出有效分析呢？

◆能否在最短事件內(nèi)將分析結(jié)果做成特征碼從云端分發(fā)下去呢？

◆如何精準(zhǔn)監(jiān)控重要業(yè)務(wù)服務(wù)器的異常情況？

這些啟示，實(shí)際上是來自于趨勢科技在本次韓國APT攻擊事件后的思考，在采訪中，趨勢科技相關(guān)技術(shù)人員為51CTO.com記者詳細(xì)的介紹了“韓國”事件，值得一提的是，在事前通過TDA的啟發(fā)式偵測與沙盒分析提示，監(jiān)測出此次攻擊相關(guān)的郵件中的惡意附件，并定制防御策略(Custom Defense Strategy)，是幫助韓國某些用戶能夠成功抵擋此次攻擊的重要原因。

下面這個(gè)數(shù)字或許能證明一些事情：全球6大銀行中，有三家采用TDA搭配定制的防御方案，有超過80多個(gè)政府機(jī)構(gòu)也采用這套解決方案免于此類攻擊。

“全球范圍內(nèi)的APT攻擊還在持續(xù)，采用TDA搭配定制的防御方案的企業(yè)也會(huì)越來越多。”——韓國某銀行CIO