论文部分内容阅读
水坑攻击再发威 韩国多家大型银行和媒体相继沦陷
一个国家的多家银行网络ATM机无法提款、银行业务操作系统和网上银行系统瘫痪;多家全国性电视台的内部计算机系统宕机,稿件、素材全部丢失,节目播出受到严重影响……如果这些事件同时发生,将给一个国家的金融和传媒体系造成多么大的冲击!韩国最近就遭遇了这样的黑客攻击灾难事件。3月20日,韩国多家大型银行及媒体相继出现电脑黑屏,继而无法启动的情况,导致很多企业业务运行出现中断,并且耗费了四五天时间才完全恢复业务。
对韩国来说,这绝对是一场难以忘怀的梦魇。而在此过程中黑客使用的新型攻击手段,对于其他国家和企业组织而言,也应该引起足够重视。
黑客实施连环计
攻击韩国电视台和银行机构,黑客使用了多种攻击方式,并利用了高度仿真的钓鱼邮件,使用户很难幸免于难。
黑客首先实施的是社交工程攻击。黑客假冒银行发送主题为“三月份信用卡交易明细”的钓鱼邮件,邮件包括一个图片文件和一个名为“您的账户交易历史”的恶意.rar文件。将无害文件和有害文件结合起来真假难辨,加之邮件以信用卡交易明细为诱饵,增强了可信度,导致很多终端用户上当。一旦用户点击了恶意附件,终端设备就会连接多个恶意IP地址并下载9个文件,企业内部的中央更新管理服务器也会因此被植入恶意程序。恶意程序通过更新管理机制快速散播到所有连接此服务器的计算机中,并新增数个恶意组件,其中包含一个名为“TROJ_KILLMBR.SM”的硬盘主引导记录(Master Boot Record,MBR)修改器,修改器会覆盖企业电脑中的MBR信息,造成系统无法启动。
接下来,黑客通过水坑攻击,导致大量终端用户中招。水坑攻击是一种新型的APT攻击方式。黑客入侵的对象是经常被访问的合法网站的服务器,当用户访问这些网站时,就会遭到感染。苹果iOS开发者论坛、Facebook、Twitter和微软等科技巨头都曾遭遇水坑攻击。如果将以往的黑客攻击比作是给饮用水下毒,那么水坑攻击就是在给水源下毒。在这次攻击中,黑客入侵了韩国本地最大的反病毒厂商AhnLab的更新服务器,利用更新服务器下发恶意程序到终端,包括MBR修改木马。当终端用户更新反病毒软件时,不但没有起到保护终端的作用,反而使恶意程序入侵。
以往,APT攻击大多以隐蔽地收集企业的隐私信息为主,但此次攻击有所不同,黑客似乎更倾向于让目标对象的业务系统瘫痪。在水坑攻击之后,恶意程序将执行自我毁灭,起到破坏效果。黑客设定该恶意程序在3月20日爆发,设定时间到达后,恶意程序会复写MBR并且自动重启系统,让破坏行动生效。恶意程序利用保存的登录信息尝试连接SunOS、AIX、HP-UX与其他Linux服务器,然后删除服务器上的MBR和文件。企业电脑系统因此完全瘫痪,必须逐一重装系统才能恢复。
据了解,韩国受攻击的机构包括KBS、MBC、YTN等韩国主流新闻机构,以及韩国最大的银行网络农业协同银行等多家银行,造成的后果包括电视台播送内容无法更新,官网无法登录,受感染机器上的数据无法恢复,银行的柜台业务、ATM机业务和网上银行业务大面积瘫痪。
韩国黑客攻击事件使其他国家也紧张起来。我国相关机构也对此十分重视。中国银行业监督管理委员会在黑客攻击爆发当天就发布了关于加强网络安全防范的通知,要求各类银行“加强网络监控特别是对网络边界、互联网出口等关键区域的监控……完善应急预案,做好应对准备”。
对抗APT没有灵丹妙药
APT攻击已成为当前黑客攻击最有力的武器,也让政府和企业防不胜防,闻之色变。趋势科技(中国区)产品经理蒋世琪表示:“2012年,有多起APT攻击从窃取资料转向以破坏攻击对象的业务系统为目标,这类攻击今后将越来越多。2013年,APT攻击将变得越来越复杂,攻击技术越来越强大,部署攻击的方式也将越来越灵活。”
韩国黑客攻击事件的攻击方法引人深思:社交工程邮件是APT攻击最主要的侵入方式,对于多个真假难辨的恶意附件,如何对其进行侦测和阻拦,第一时间对其进行分析?怎样将分析结果反馈到防御机制,在最短时间内将分析结果做成特征码,在终端清除恶意程序?发生紧急情况时,企业如何才能具备完善的信息安全调查与相应能力?对此,蒋世琪认为:“对抗APT攻击没有灵丹妙药,只有通过定制化的侦测机制监控企业网络,才能有效地降低风险。”
在此次攻击事件中,韩国只有少数银行机构幸免于难。它们的共同点是部署了趋势科技的深度威胁监测设备TDA和定制防御解决方案。回顾整个攻击过程,趋势科技(中国区)产品经理蒋世琪透露:“趋势科技TDA包括高级持续性威胁检测、威胁跟踪、分析和处理措施、实时威胁控制台、重点资产观察名单、威胁百科等多种功能,并且支持企业的灵活部署。趋势科技定制防御解决方案能有效拦截针对性攻击和APT攻击的社交工程邮件,包含侦测、分析、加固和响应四个步骤。企业可以借助该解决方案偵测一般防御体系无法识别的恶意程序、通信与行为,分析攻击过程和攻击者的特征及其带来的风险,加固安全防御体系,对攻击活动进行应急响应。”
“至少在韩国黑客攻击事件爆发的前一天,趋势科技通过TDA的启发式侦测技术和沙盒分析,监测到了可疑邮件,并且判断邮件中包含恶意程序,定制了防御策略。”蒋世琪表示,“启发式侦测提供了威胁的可见性,清楚地定位了攻击对象的员工计算机。沙盒分析提供了响应威胁所需要的信息,分析出木马程序的可疑行为——C
一个国家的多家银行网络ATM机无法提款、银行业务操作系统和网上银行系统瘫痪;多家全国性电视台的内部计算机系统宕机,稿件、素材全部丢失,节目播出受到严重影响……如果这些事件同时发生,将给一个国家的金融和传媒体系造成多么大的冲击!韩国最近就遭遇了这样的黑客攻击灾难事件。3月20日,韩国多家大型银行及媒体相继出现电脑黑屏,继而无法启动的情况,导致很多企业业务运行出现中断,并且耗费了四五天时间才完全恢复业务。
对韩国来说,这绝对是一场难以忘怀的梦魇。而在此过程中黑客使用的新型攻击手段,对于其他国家和企业组织而言,也应该引起足够重视。
黑客实施连环计
攻击韩国电视台和银行机构,黑客使用了多种攻击方式,并利用了高度仿真的钓鱼邮件,使用户很难幸免于难。
黑客首先实施的是社交工程攻击。黑客假冒银行发送主题为“三月份信用卡交易明细”的钓鱼邮件,邮件包括一个图片文件和一个名为“您的账户交易历史”的恶意.rar文件。将无害文件和有害文件结合起来真假难辨,加之邮件以信用卡交易明细为诱饵,增强了可信度,导致很多终端用户上当。一旦用户点击了恶意附件,终端设备就会连接多个恶意IP地址并下载9个文件,企业内部的中央更新管理服务器也会因此被植入恶意程序。恶意程序通过更新管理机制快速散播到所有连接此服务器的计算机中,并新增数个恶意组件,其中包含一个名为“TROJ_KILLMBR.SM”的硬盘主引导记录(Master Boot Record,MBR)修改器,修改器会覆盖企业电脑中的MBR信息,造成系统无法启动。
接下来,黑客通过水坑攻击,导致大量终端用户中招。水坑攻击是一种新型的APT攻击方式。黑客入侵的对象是经常被访问的合法网站的服务器,当用户访问这些网站时,就会遭到感染。苹果iOS开发者论坛、Facebook、Twitter和微软等科技巨头都曾遭遇水坑攻击。如果将以往的黑客攻击比作是给饮用水下毒,那么水坑攻击就是在给水源下毒。在这次攻击中,黑客入侵了韩国本地最大的反病毒厂商AhnLab的更新服务器,利用更新服务器下发恶意程序到终端,包括MBR修改木马。当终端用户更新反病毒软件时,不但没有起到保护终端的作用,反而使恶意程序入侵。
以往,APT攻击大多以隐蔽地收集企业的隐私信息为主,但此次攻击有所不同,黑客似乎更倾向于让目标对象的业务系统瘫痪。在水坑攻击之后,恶意程序将执行自我毁灭,起到破坏效果。黑客设定该恶意程序在3月20日爆发,设定时间到达后,恶意程序会复写MBR并且自动重启系统,让破坏行动生效。恶意程序利用保存的登录信息尝试连接SunOS、AIX、HP-UX与其他Linux服务器,然后删除服务器上的MBR和文件。企业电脑系统因此完全瘫痪,必须逐一重装系统才能恢复。
据了解,韩国受攻击的机构包括KBS、MBC、YTN等韩国主流新闻机构,以及韩国最大的银行网络农业协同银行等多家银行,造成的后果包括电视台播送内容无法更新,官网无法登录,受感染机器上的数据无法恢复,银行的柜台业务、ATM机业务和网上银行业务大面积瘫痪。
韩国黑客攻击事件使其他国家也紧张起来。我国相关机构也对此十分重视。中国银行业监督管理委员会在黑客攻击爆发当天就发布了关于加强网络安全防范的通知,要求各类银行“加强网络监控特别是对网络边界、互联网出口等关键区域的监控……完善应急预案,做好应对准备”。
对抗APT没有灵丹妙药
APT攻击已成为当前黑客攻击最有力的武器,也让政府和企业防不胜防,闻之色变。趋势科技(中国区)产品经理蒋世琪表示:“2012年,有多起APT攻击从窃取资料转向以破坏攻击对象的业务系统为目标,这类攻击今后将越来越多。2013年,APT攻击将变得越来越复杂,攻击技术越来越强大,部署攻击的方式也将越来越灵活。”
韩国黑客攻击事件的攻击方法引人深思:社交工程邮件是APT攻击最主要的侵入方式,对于多个真假难辨的恶意附件,如何对其进行侦测和阻拦,第一时间对其进行分析?怎样将分析结果反馈到防御机制,在最短时间内将分析结果做成特征码,在终端清除恶意程序?发生紧急情况时,企业如何才能具备完善的信息安全调查与相应能力?对此,蒋世琪认为:“对抗APT攻击没有灵丹妙药,只有通过定制化的侦测机制监控企业网络,才能有效地降低风险。”
在此次攻击事件中,韩国只有少数银行机构幸免于难。它们的共同点是部署了趋势科技的深度威胁监测设备TDA和定制防御解决方案。回顾整个攻击过程,趋势科技(中国区)产品经理蒋世琪透露:“趋势科技TDA包括高级持续性威胁检测、威胁跟踪、分析和处理措施、实时威胁控制台、重点资产观察名单、威胁百科等多种功能,并且支持企业的灵活部署。趋势科技定制防御解决方案能有效拦截针对性攻击和APT攻击的社交工程邮件,包含侦测、分析、加固和响应四个步骤。企业可以借助该解决方案偵测一般防御体系无法识别的恶意程序、通信与行为,分析攻击过程和攻击者的特征及其带来的风险,加固安全防御体系,对攻击活动进行应急响应。”
“至少在韩国黑客攻击事件爆发的前一天,趋势科技通过TDA的启发式侦测技术和沙盒分析,监测到了可疑邮件,并且判断邮件中包含恶意程序,定制了防御策略。”蒋世琪表示,“启发式侦测提供了威胁的可见性,清楚地定位了攻击对象的员工计算机。沙盒分析提供了响应威胁所需要的信息,分析出木马程序的可疑行为——C