趋势科技：从韩国攻击事件看APT离你的企业有多远？

ZDNET安全频道 08月22日 北京报道： 很多人对今年三月份韩国银行和电视台遭遇的APT攻击事件记忆犹新，包括个人计算机、服务器和自助服务终端在内的48700台计算机遭到破坏，业务出现大面积中断，直至4-5天后才完全恢复。

作为亲历参与过APT防御的趋势科技韩国事业部经理Thomas Park在近日的趋势科技高端CIO峰会上描述了韩国银行和电视台当时遭遇APT攻击的途径，电子邮件是针对性攻击的首选渠道，首先是受害企业内部被发送了带有恶意附件的社会工程学电子邮件。在可知的事件中，攻击者总共使用了76个定制的恶意软件，其中包括9个破坏性恶意软件，其余67个用于进行渗透和监控。另外，攻击者通过防病毒供应商的Patch管理服务器进行传播，利用合法的更新机制将恶意软件更快地部署到了端点。除了这些手段外，攻击者还对个人计算机和Linux服务器进行了定制攻击，通过从受感染客户端获取服务器登录凭证以发起远程攻击，并监控服务器活动以获取服务器访问权限并发送损坏命令以破坏服务器系统。

趋势科技韩国事业部经理Thomas Park

的确，韩国黑客入侵事件震惊国际，韩国多家银行与三大电视台遭遇了具有典型APT特征的有组织的攻击，导致了银行ATM、网银及运维都引入瘫痪，电视台向外播送的内容无法更新。而此次事件的发生也促成了韩国网络攻击响应系统的升级与完善，系统设置了五个警报等级，包括了正常、中等、重要、严重和非常严重，发布条件依次为始终监控是否存在异常迹象，入侵和传播的可能性正在增加，本地互联网通信和服务出现故障，多家互联网运营商的网络和基础架构出现故障，整个国家/地区的互联网通信陷入瘫痪。Thomas介绍说，韩国国家网络危机管理系统分为了公共部门、私人部门和国防，其中韩国互联网振兴院负责防范和应对私人部门中的入侵事件。

从网络安全危机响应的机制看，当前面临的严峻的网络安全形势可见一斑，趋势科技(中国区)产品经理蒋世琪在接受ZDNet采访时指出，近10年来，黑客攻击事件不断发生变化。他们的目的从自我炫耀到勒索钱财到制造网络恐怖、社会混乱，攻击技巧也从手动到更加隐蔽与自动化，甚至是系统化和智能化。而目标也从攻击单个系统到攻击大规模与网络，甚至是瞄准社会基础架构与国家。

而对于APT攻击来说，很多人认为很遥远，因为我们最早认识与熟悉它，大多是以政治目的引起的，在商业环境中并不常见。不过，Thomas告诉记者，关于APT攻击在企业的案例媒体报道或披露的少，并不代表不存在或真的少。在现实生活中，私营部门受到APT攻击的数量要超过政府遭受攻击的数量，因为“家丑不可外扬”，很多企业不愿意把丑事宣扬出去。蒋世琪补充到，趋势科技也协助比较多的客户去调查他们遇到的APT攻击，但首先是被要求签保密协议，因为APT的发生可能造成了数据信息的泄露，企业不想被曝光影响其声誉。

还有更多的企业根本不知道自己被攻击，因为对于APT攻击来讲，企业从开始遭受攻击，到最后发现一般是大概半年到一年的时间。趋势科技估计，90%的企业并没有意识到自己被攻击。蒋世琪指出，在电子商务中，APT攻击存在于大量针对中小型的网络卖家中。

所以，千万不要认为，APT很遥远，也许它就存在你身边!

(图)韩国APT攻击事件中趋势科技防御流程（点击看大图）

Thomas告诉记者，在韩国APT攻击事件中，趋势科技保护了三家银行免受APT的攻击。趋势科技在事前通过TDA的启发式侦测与沙盒动态分析提示，监测出韩国APT攻击相关邮件中的恶意附件，并使用定制化防御策略，帮助趋势科技的韩国客户事先发觉并采取防护措施，在2小时内即时阻止恶意入侵，成功抵挡了黑客攻击。

Thomas坦言，业界并没有100%的防御APT与解决方案，但通过一定的技术手段可以降低APT攻击的风险，增加攻击者攻击的难度。趋势科技通过“沙盒”等技术初始检测，然后进行模拟和关联，最后通最终的交叉关联发现“轻微慢速”的威胁活动以及其他只能通过长期观察才能发现的隐蔽活动。当然，技术防御是不可或缺的手段，由于APT攻击的独特特性，特别是利用了社会工程学，加强员工安全意识同样格外重要。