高级可持续威胁(APT)的名字听上去的确很了不起,似乎有关它的一切一定很高端,很复杂。但最近的一份分析报告却显示,有些APT攻击其技术含量还不比不上普通的恶意软件。
“这有点违反普通人的直觉,大部分人都被好莱坞电影错误的引导了,但我本人并不觉得有什么奇怪的。”这份分析报告的作者,Sophos实验室首席研究员戈伯表示(Gabor Szappanos)。“我每天都会各种恶意软件的样本进行分析,经验告诉我APT攻击的样本比普通的攻击样本更容易分析。虽然这只是主观印象,但我有实际的数据支持。”
一个微软办公软件Word漏洞(CVE-2014-1761)被用来分析测试恶意软件。该漏洞去年最后三个月被大肆利用,并成为第三大被利用的基于文档的漏洞。分析发现,所有的攻击者不仅对“攻击工具的理解力有限,修改能力有限”,即使是APT攻击团伙在技术的高端和复杂性上还不如普通的主流网络罪犯。
研究人员共分析了70个恶意程序样本,包括各种恶意软件家族,如Plugx、MiniDuke和Tinba。但在这些程序中,无论是APT还是普通恶意程序的作者都没有显示出对攻击技术的足够认知,大多数恶名昭著的APT攻击团伙比较低端,远称不上高级复杂(sophistication)。
而且,还有一种情况令人大跌眼镜,竟有超过一半的样本对CVE-2014-1761不起作用。当然,这并不意味所有的恶意软件都不能感染攻击目标,因为还有一些同时可利用多种漏洞的恶意程序,以及一些利用过时漏洞(如CVE- 2012-0158)的恶意程序,可以成功感染目标,但成功率也只有30%。
很明显,现在编写漏洞利用程序比过去要更加困难了。
安全牛评:这份报告结果证明了恶意软件环境的分化,一方面只有很少的人可以编写漏洞利用程序,另一方面大量的人使用漏洞程序,这些人缺乏对复杂恶意程序的理解力,但他们照样可以利用别人编写的软件发起所谓的APT攻击。