對于兩年前就已經開始流行的APT攻擊，國內外很多媒體都給予了充分的報道，從技術解析到實際攻擊案例，一時間似乎這種高級網絡威脅充斥著整個信息安全領域，再無其他威脅可以入流了。

俗話說有人歡喜有人愁，有遭受攻擊的企業，對于這種情況，很多企業都不愿述說自身的遭遇，因為那很丟人，哪怕造成了不可挽回的損失，也不愿將家丑外揚。事實上，像這樣企業還有很多，只是人們都不知道罷了，其實這種低調心態可以理解，只要沒上升到公眾層面，其他一切都可以低調，國際上是這樣的，國內也是這樣的。 

不過，還有一種情況，是遭受了攻擊但沒有造成損失的企業，這種情況并不多見，不過，但凡有一例這樣的事情，那一定會被宣傳的，要么是媒體，要么是提供安全技術或防御解決方案的安全廠商。

如果這兩種情況同一時間，因同一ATP攻擊而出現，那就有意思多了。恰巧上個月，也就是2013 年3月20日，這兩種情況就同時出現在我們的鄰邦——“韓國”。

大致的情況是這樣的：3月20下午，韓國多家大型銀行及數家媒體相繼出現多臺電腦丟失畫面的情況，有些電腦的顯示屏上甚至出現骷髏頭的圖像以及來自名為“WhoIs”團體的警告信息，繼而無法啟動。令人意想不到的是，多數銀行和媒體遭受攻擊僅僅是韓國在同一時間遭受的多起攻擊之一，同一時刻還有更多的企業業務運行出現中斷的情況，內網計算機黑屏、網絡凍結，信息系統幾乎癱瘓，等到業務完全恢復時，已經是4-5天之后了。

事實上，這是一次典型的APT攻擊，受影響最大的是韓國多家金融機構和媒體，不過其中有些銀行和媒體并未造成損失，并非他們沒有遭受攻擊，而是因為他們有了相對完善的防御技術和措施，才使得他們能夠幸免于難。根據他們監測，這是一次惡意程序攻擊的結果。黑客一開始假冒銀行發送主題為“三月份信用卡交易明細”的釣魚郵件，該郵件包含兩個附件，一個是無害的“card.jpg”，另一個是名為“您的賬戶交易歷史”的惡意.rar文件，它會連接數個惡意IP地址并下載9個文件。企業內部的中央更新管理服務器也會因為遭受入侵而被植入惡意程序，惡意程序會通過更新管理機制快速的散播到所有連接此服務器的計算機。并新增數個組件，其中包含一個定名為“TROJ_KILLMBR.SM”的硬盤主引導記錄（Master Boot Record，簡稱MBR）修改器，修改器會覆蓋企業電腦中的MBR信息，造成系統無法啟動。

黑客設定該惡意程序在 2013 年3月20日同步爆發，當設定的時間到達之后，“TROJ_KILLMBR.SM”會復寫MBR并且自動重啟系統，讓此次破壞行動生效。惡意程序會利用保存的登錄信息嘗試連接SunOS、AIX、HP-UX與其他Linux服務器，然后刪除服務器上的MBR與文件。一旦爆發，企業電腦系統會完全癱瘓，必須逐一重裝系統才能恢復。

對于終端電腦來說，如果用戶使用的是Windows Vista或是更新的版本，惡意程序會搜尋所有固定或移動硬盤中文件夾里的全部文件，用重復的單詞去復寫文件，然后刪除這些文件與文件夾；如果用戶使用的是Windows Vista等舊版本的操作系統，它會復寫所有固定或移動硬盤的卷引導記錄（volume boot record），造成磁盤故障。

知道了原因，也就不難對癥下藥，3月20日，那些遭受到攻擊但沒有造成損失的企業，無一例外的使用了趨勢科技的TDA（威脅防御系統）來監測整個IT架構的數據動態，第一時間利用TDA的沙盒分析出上述的惡意行為，并找出了相關郵件中的惡意附件……

到這里或許大家已經清晰了幾個關鍵點：韓國上個月遭受了ATP大范圍攻擊、有人歡喜有人愁、利用沙盒是有效的防御手段……，事情到這里似乎已經結束了。不過，很多人或許都不會注意的是：TDA通過沙盒分析找出了相關的惡意附件，然后呢？

然后的事情，就是人的參與。

目前來說，面對APT攻擊還很難做到智能處理，當IT運維管理人員收到了相關設備的報警后，第一時間人為阻斷惡意附件，是非常重要的環節，往往我們都忽視掉這個環節，要么是收到相關報警，沒及時處理，要么是根本沒有及時都到報警。總之，防御APT攻擊并不是安全設備的事，人也要參與其中，認識到這一點，將直接提升貴單位的安全防御等級。

當然，所有這些防御手段都需要制定一個非常好的防御策略，如趨勢科技的思路就可以用來借鑒：監測——分析——加固——響應，雖然這屬于比較傳統的防御思路，但無疑是有效的。

從“韓國”APT事件本身我們也可以得到一些啟示：

◆一切從社會工程開始，是否能夠有效監測并阻擋惡意行為？

◆是否能夠第一時間做出有效分析呢？

◆能否在最短事件內將分析結果做成特征碼從云端分發下去呢？

◆如何精準監控重要業務服務器的異常情況？

這些啟示，實際上是來自于趨勢科技在本次韓國APT攻擊事件后的思考，在采訪中，趨勢科技相關技術人員為51CTO.com記者詳細的介紹了“韓國”事件，值得一提的是，在事前通過TDA的啟發式偵測與沙盒分析提示，監測出此次攻擊相關的郵件中的惡意附件，并定制防御策略(Custom Defense Strategy)，是幫助韓國某些用戶能夠成功抵擋此次攻擊的重要原因。

下面這個數字或許能證明一些事情：全球6大銀行中，有三家采用TDA搭配定制的防御方案，有超過80多個政府機構也采用這套解決方案免于此類攻擊。

“全球范圍內的APT攻擊還在持續，采用TDA搭配定制的防御方案的企業也會越來越多。”——韓國某銀行CIO