高級可持續(xù)威脅(APT)的名字聽上去的確很了不起,似乎有關(guān)它的一切一定很高端,很復(fù)雜。但最近的一份分析報告卻顯示,有些APT攻擊其技術(shù)含量還不比不上普通的惡意軟件。
“這有點違反普通人的直覺,大部分人都被好萊塢電影錯誤的引導(dǎo)了,但我本人并不覺得有什么奇怪的。”這份分析報告的作者,Sophos實驗室首席研究員戈伯表示(Gabor Szappanos)。“我每天都會各種惡意軟件的樣本進(jìn)行分析,經(jīng)驗告訴我APT攻擊的樣本比普通的攻擊樣本更容易分析。雖然這只是主觀印象,但我有實際的數(shù)據(jù)支持。”
一個微軟辦公軟件Word漏洞(CVE-2014-1761)被用來分析測試惡意軟件。該漏洞去年最后三個月被大肆利用,并成為第三大被利用的基于文檔的漏洞。分析發(fā)現(xiàn),所有的攻擊者不僅對“攻擊工具的理解力有限,修改能力有限”,即使是APT攻擊團(tuán)伙在技術(shù)的高端和復(fù)雜性上還不如普通的主流網(wǎng)絡(luò)罪犯。
研究人員共分析了70個惡意程序樣本,包括各種惡意軟件家族,如Plugx、MiniDuke和Tinba。但在這些程序中,無論是APT還是普通惡意程序的作者都沒有顯示出對攻擊技術(shù)的足夠認(rèn)知,大多數(shù)惡名昭著的APT攻擊團(tuán)伙比較低端,遠(yuǎn)稱不上高級復(fù)雜(sophistication)。
而且,還有一種情況令人大跌眼鏡,竟有超過一半的樣本對CVE-2014-1761不起作用。當(dāng)然,這并不意味所有的惡意軟件都不能感染攻擊目標(biāo),因為還有一些同時可利用多種漏洞的惡意程序,以及一些利用過時漏洞(如CVE- 2012-0158)的惡意程序,可以成功感染目標(biāo),但成功率也只有30%。
很明顯,現(xiàn)在編寫漏洞利用程序比過去要更加困難了。
安全牛評:這份報告結(jié)果證明了惡意軟件環(huán)境的分化,一方面只有很少的人可以編寫漏洞利用程序,另一方面大量的人使用漏洞程序,這些人缺乏對復(fù)雜惡意程序的理解力,但他們照樣可以利用別人編寫的軟件發(fā)起所謂的APT攻擊。