对于两年前就已经开始流行的APT攻击,国内外很多媒体都给予了充分的报道,从技术解析到实际攻击案例,一时间似乎这种高级网络威胁充斥着整个信息安全领域,再无其他威胁可以入流了。
俗话说有人欢喜有人愁,有遭受攻击的企业,对于这种情况,很多企业都不愿述说自身的遭遇,因为那很丢人,哪怕造成了不可挽回的损失,也不愿将家丑外扬。事实上,像这样企业还有很多,只是人们都不知道罢了,其实这种低调心态可以理解,只要没上升到公众层面,其他一切都可以低调,国际上是这样的,国内也是这样的。
不过,还有一种情况,是遭受了攻击但没有造成损失的企业,这种情况并不多见,不过,但凡有一例这样的事情,那一定会被宣传的,要么是媒体,要么是提供安全技术或防御解决方案的安全厂商。
如果这两种情况同一时间,因同一ATP攻击而出现,那就有意思多了。恰巧上个月,也就是2013 年3月20日,这两种情况就同时出现在我们的邻邦——“韩国”。
大致的情况是这样的:3月20下午,韩国多家大型银行及数家媒体相继出现多台电脑丢失画面的情况,有些电脑的显示屏上甚至出现骷髅头的图像以及来自名为“WhoIs”团体的警告信息,继而无法启动。令人意想不到的是,多数银行和媒体遭受攻击仅仅是韩国在同一时间遭受的多起攻击之一,同一时刻还有更多的企业业务运行出现中断的情况,内网计算机黑屏、网络冻结,信息系统几乎瘫痪,等到业务完全恢复时,已经是4-5天之后了。
事实上,这是一次典型的APT攻击,受影响最大的是韩国多家金融机构和媒体,不过其中有些银行和媒体并未造成损失,并非他们没有遭受攻击,而是因为他们有了相对完善的防御技术和措施,才使得他们能够幸免于难。根据他们监测,这是一次恶意程序攻击的结果。黑客一开始假冒银行发送主题为“三月份信用卡交易明细”的钓鱼邮件,该邮件包含两个附件,一个是无害的“card.jpg”,另一个是名为“您的账户交易历史”的恶意.rar文件,它会连接数个恶意IP地址并下载9个文件。企业内部的中央更新管理服务器也会因为遭受入侵而被植入恶意程序,恶意程序会通过更新管理机制快速的散播到所有连接此服务器的计算机。并新增数个组件,其中包含一个定名为“TROJ_KILLMBR.SM”的硬盘主引导记录(Master Boot Record,简称MBR)修改器,修改器会覆盖企业电脑中的MBR信息,造成系统无法启动。
黑客设定该恶意程序在 2013 年3月20日同步爆发,当设定的时间到达之后,“TROJ_KILLMBR.SM”会复写MBR并且自动重启系统,让此次破坏行动生效。恶意程序会利用保存的登录信息尝试连接SunOS、AIX、HP-UX与其他Linux服务器,然后删除服务器上的MBR与文件。一旦爆发,企业电脑系统会完全瘫痪,必须逐一重装系统才能恢复。
对于终端电脑来说,如果用户使用的是Windows Vista或是更新的版本,恶意程序会搜寻所有固定或移动硬盘中文件夹里的全部文件,用重复的单词去复写文件,然后删除这些文件与文件夹;如果用户使用的是Windows Vista等旧版本的操作系统,它会复写所有固定或移动硬盘的卷引导记录(volume boot record),造成磁盘故障。
知道了原因,也就不难对症下药,3月20日,那些遭受到攻击但没有造成损失的企业,无一例外的使用了趋势科技的TDA(威胁防御系统)来监测整个IT架构的数据动态,第一时间利用TDA的沙盒分析出上述的恶意行为,并找出了相关邮件中的恶意附件……
到这里或许大家已经清晰了几个关键点:韩国上个月遭受了ATP大范围攻击、有人欢喜有人愁、利用沙盒是有效的防御手段……,事情到这里似乎已经结束了。不过,很多人或许都不会注意的是:TDA通过沙盒分析找出了相关的恶意附件,然后呢?
然后的事情,就是人的参与。
目前来说,面对APT攻击还很难做到智能处理,当IT运维管理人员收到了相关设备的报警后,第一时间人为阻断恶意附件,是非常重要的环节,往往我们都忽视掉这个环节,要么是收到相关报警,没及时处理,要么是根本没有及时都到报警。总之,防御APT攻击并不是安全设备的事,人也要参与其中,认识到这一点,将直接提升贵单位的安全防御等级。
当然,所有这些防御手段都需要制定一个非常好的防御策略,如趋势科技的思路就可以用来借鉴:监测——分析——加固——响应,虽然这属于比较传统的防御思路,但无疑是有效的。
从“韩国”APT事件本身我们也可以得到一些启示:
◆一切从社会工程开始,是否能够有效监测并阻挡恶意行为?
◆是否能够第一时间做出有效分析呢?
◆能否在最短事件内将分析结果做成特征码从云端分发下去呢?
◆如何精准监控重要业务服务器的异常情况?
这些启示,实际上是来自于趋势科技在本次韩国APT攻击事件后的思考,在采访中,趋势科技相关技术人员为51CTO.com记者详细的介绍了“韩国”事件,值得一提的是,在事前通过TDA的启发式侦测与沙盒分析提示,监测出此次攻击相关的邮件中的恶意附件,并定制防御策略(Custom Defense Strategy),是帮助韩国某些用户能够成功抵挡此次攻击的重要原因。
下面这个数字或许能证明一些事情:全球6大银行中,有三家采用TDA搭配定制的防御方案,有超过80多个政府机构也采用这套解决方案免于此类攻击。
“全球范围内的APT攻击还在持续,采用TDA搭配定制的防御方案的企业也会越来越多。”——韩国某银行CIO
Follow @chinazyjoe