“世界上只有两种公司：知道自己的网络被入侵的和不知道的。”-----这是Misha Glenny花了几年时间调查全球犯罪网络之后得出的结论。

网络攻击就像是紧紧伴随着互联网发展的一个“黑暗使者”，警告着也威胁着原本美好的网络世界。如今，网络攻击策略和手段已经远远超出你所想象，这些攻击有组织和特定的目标、持续时间长，比如近两三年频繁出现在媒体和网络安全报告上的APT(Advanced Persistent Threat)攻击。

然而，对于大部分遭受到攻击的公司来说，家丑不可外扬，所以在媒体上看到的APT攻击案例仅仅是冰山一角，大部分是对政府或大型公司的攻击案例。实际上，有很多的企业都有遭受APT的攻击。

2013年以来，有一次大规模的APT攻击吸引了不少眼球，也就是3月20日爆发的韩国APT攻击事件。趋势科技韩国事业部经理Thomas Park曾对这次知名的APT事件发生的过程和防御的过程与笔者进行了比较详细的介绍和交流，至此，笔者认为APT“神秘的光环”又减弱了一些。

48700台计算机被黑了!

案情回顾：3月20日，韩国很多银行和媒体同时遭受攻击，电脑的显示屏上甚至出现骷髅头的图像以及来自名为"WhoIs"团体的警告信息，继而无法启动。同一时刻受到攻击还使得很多企业业务运行出现中断，内网计算机黑屏、网络冻结，信息系统几乎瘫痪，4-5天之后业务才得以恢复。

韩国3月APT攻击受影响的机构

据分析统计，攻击者采用了社会工程学的攻击方式，共使用了76个定制的恶意软件，包括9个破坏性恶意软件，其余用于进行渗透和监控。另外，攻击者通过一家防病毒供应商管理服务器进行传播，利用合法的更新机制将恶意软件更快地部署到了端点。除了这些手段外，攻击者还对许多个人计算机和Linux服务器进行定制攻击，通过从受感染客户端获取服务器登录凭证以发起远程攻击……在这个过程中，共有48700台计算机遭到了破坏。

那么，发动这起APT攻击的是谁？目的是什么呢？Thomas Park在接受天极网记者采访时表示，韩国将政府的网站被攻击指向为朝鲜，但是韩国政府没有披露造成一些关键信息的泄露。黑客在攻击的时候，不仅仅是为了造成社会的混乱，他们的主要目的是信息窃取。

攻击手法复杂

当然，这个事情的结局还不算坏，既然可以在趋势科技的CIO论坛上来当成案例，那么趋势科技在阻挡这次攻击是发挥了不小的作用的：当时遭受到APT攻击而没有造成损失的企业，都使用了趋势科技的TDA(威胁防御系统)来监测整个IT架构的数据动态，第一时间通过TDA的沙盒分析发现了上述的恶意行为，通过SMTP扫描技术找到了相关邮件中的恶意附件……

SMTP扫描可疑邮件

雇佣黑客：APT攻击，下一个可能就是你!

可能大部分人认为，APT这种复杂的攻击只存在国家层面(如伊朗核电站的APT攻击)或者一些大的金融机构，那么，中小公司会是攻击者的目标吗？实际上，任何类型任何行业的公司都有可能成为攻击的目标，只要你有攻击者感兴趣的信息，雇佣黑客的很可能是你的竞争对手公司。据Thomas介绍，有一家韩国的门户网站的公司，拥有三千四百万用户的个人信息，在2013年就有三千四百万用户的个人信息泄露出去了。另外黑客容易攻击的对象，是信用卡公司，他们掌握着不少的用户、个人相关的隐私;一些具有知识产权资产的高科技信息产业，通常也是被黑客觊觎的对象。

在很多人的想象中，类似以政治为目的、在2011年名声大震的匿名者(Anonymous)这种黑客的技术非常高深的：能够找到系统的漏洞，并且制作恶意的程序，发起一连串的多手段攻击。而据趋势科技产品经理蒋世琪介绍，现实的状况是黑客的地下产业链日趋完善，他们团队协作、分工明确。对于APT攻击来说，这种特点尤为明显，一部分人是专门找漏洞的，一部分人是专门利用这些漏洞来制作工具，另外一部分人拿这些工具进行攻击。这样的分工的好处是：

首先，从漏洞被发现，到真的发起攻击，时间被缩短;其次，如果要发起攻击，甚至不需要自己找漏洞，自己去找工具，只要有钱就能买到一些漏洞和工具。对于企业的服务器来讲，每一次更新都伴随着风险，因为这个更新本身有问题，可能会导致它整个的服务器所提供的服务中断。由于IT部门对服务器的更新是非常谨慎的，在这段比较保守的时间内黑客可以攻击，即使补丁已经发布了。

据了解，一些调查显示，遭受APT攻击的企业，从开始遭受APT攻击，到最后他发现自己被攻击，大概半年到一年的时间。另外的调查显示，有90%以上的企业并没有意识到自己被攻击。

就像世界上没有两只完全相同的鸡蛋一样，没有两个APT是完全一样的。“每一个APT攻击的方式都有其独特性。”蒋世琪说，“现在看到的APT都有很强的目的性，不论这个目的是要窃内部数据、窃取用户的信息，甚至是像3月份韩国的攻击事件，黑客想要毁灭内部的一些基础架构，都具有很强的目的性。这个目的性可能会依照攻击的对象会有所不同。”

我们应该惧怕APT吗？

APT如此精通“十八般武器”，又不按章法出牌，那么，对于企业来说，就毫无办法吗？Thomas认为，“没有一个放之四海而皆准的解决方案能够解决所有的APT的攻击。APT攻击是一种高度智能化的攻击，但是无论怎样它都会用到恶意软件。”所以，并不算无规律可循。

在如此乱世，最吃香的应当属网络安全公司了。虽然目前还没有一个安全厂商敢说自己的产品能百分白的防住APT攻击，但据Thomas介绍，趋势科技在对抗APT攻击方面还是有一些独特的思路是：对于电子邮件的攻击方式，应该对电子邮件进行过滤，把过滤出来的邮件放到一个特定的区域，防止攻击。另外还应该进一步的来探寻，是否与外部的交换服务器之间有一定的联系，进一步就会通过监测器等来探寻，再或者用其他的一些应用程序来进行防止;在系统层面，利用系统性的软件，找到他们相关的信息之间相互的关系，可找到与恶意软件相关的关键的点。也就是说，对于整个的系统攻击，要通过一种全面的解决方式进行，而不是用一种应用程序实现。“现在我们都在研究，有没有一些新的技术，虽然没办法100%但至少达到90%的比例，把APT攻击的风险降到最低。再或者是增加被攻击的难度，减低黑客的兴趣。

此外，提高网络的可见性和增强对员工的安全意识教育，对于防止APT攻击威胁，也非常重要。