韩国黑客攻击事件的启示

　　2013年3月20日，韩国广播公司、韩国文化传播公司以及韩联社新闻台突然发现，其制作的节目无法对外更新，而且网站也无法访问。几乎与此同时，新韩银行、农协银行和济州银行这三家韩国金融机构也陷入慌乱中，其三家银行的ATM、网银和银行业务系统全部都停止了工作。

　　杀毒软件反成帮凶

　　事件的起因是由于黑客侵入了这些企业和组织的IT系统并发起攻击。趋势科技近期就此事件给出了一些调查说明。趋势科技（中国区）产品经理蒋世琪认为，这是一起非常典型的APT（Advanced Persistent Threat）攻击事件。首先，黑客向韩国企业的员工发送钓鱼邮件，邮件内容是“附件中是你3月份的银行卡消费记录”，而实际上附件却捆绑了木马病毒。同时，黑客利用“水坑攻击（water hole attack）”，在网站上挂马感染访问者终端。通过以上方式，黑客成功地入侵了韩国企业所采用的来自安博士（AhnLab）的防病毒更新服务器，并对企业级杀毒软件的服务器端加以控制，进而将病毒程序下发到所有杀毒软件的客户端并执行。

　　令人感到啼笑皆非的是，本来是保证安全的杀毒软件，最后却成为了病毒传播的帮凶。

　　从收集邮箱地址到发送钓鱼邮件，再到网站挂马并控制防病毒更新服务器，最终将病毒扩散执行，韩国这起攻击事件整套是“以子之矛，攻子之盾”的流程，无不具有针对性。蒋世琪介绍说，为了将攻击范围扩大，黑客还针对不同版本Unix和Linux服务器分别编写了病毒程序。

　　如何防范APT攻击？

　　毫无疑问，这一事件造成了巨大的破坏力，也足以引人深思。在本次事件发生当天，中国银监会银行业信息科技监管部迅速发文，要求我国各类银行加强网络安全防范。

　　蒋世琪表示，黑客当时的入侵范围不仅包括了以上所提到的这几家韩国企业，趋势科技的用户原本也是黑客的攻击对象。不过，黑客的钓鱼邮件被趋势科技的深度威胁发现设备TDA所拦截，因此阻止了事态的进一步扩大。

　　APT攻击对特征码杀毒、网络防火墙这类传统信息安全防护方式的破坏性是巨大的。面对有规律可循的常规保护，黑客往往会利用技术手段规避或者破坏保护措施。因此，目前很多国内外厂商都在采用在网络出口部署APT防御网关的方式来解决这些问题。这类网关设备除了会采用特征码识别等传统技术进行初始检测外，还会进行沙盒分析，对程序或者操作行为进行分析匹配和交叉关联，进而发现隐蔽的APT活动。同时，它还会同安全厂商的服务器或者云平台进行连接和信息共享。在本次韩国黑客攻击事件中，尽管钓鱼邮件附件中的恶意软件没有被纳入杀毒软件的特征库，但是通过对其行为分析，趋势科技TDA设备判定了其恶意属性，并对邮件进行了拦截。

　　蒋世琪认为，这一事件为企业的信息安全防护敲响了警钟。一方面，传统的信息安全防护已经不足以应对当前的威胁，企业需要在第一时间阻止新的攻击手段；另一方面，企业自身也需要建立起专业服务的信息安全调查与响应能力，并对服务器等重要IT设施进行监控。

　　本报记者 李旭阳