高級(jí)可持續(xù)威脅(APT)的名字聽(tīng)上去的確很了不起，似乎有關(guān)它的一切一定很高端，很復(fù)雜。但最近的一份分析報(bào)告卻顯示，有些APT攻擊其技術(shù)含量還不比不上普通的惡意軟件。

“這有點(diǎn)違反普通人的直覺(jué)，大部分人都被好萊塢電影錯(cuò)誤的引導(dǎo)了，但我本人并不覺(jué)得有什么奇怪的。”這份分析報(bào)告的作者，Sophos實(shí)驗(yàn)室首席研究員戈伯表示(Gabor Szappanos)。“我每天都會(huì)各種惡意軟件的樣本進(jìn)行分析，經(jīng)驗(yàn)告訴我APT攻擊的樣本比普通的攻擊樣本更容易分析。雖然這只是主觀印象，但我有實(shí)際的數(shù)據(jù)支持。”

一個(gè)微軟辦公軟件Word漏洞(CVE-2014-1761)被用來(lái)分析測(cè)試惡意軟件。該漏洞去年最后三個(gè)月被大肆利用，并成為第三大被利用的基于文檔的漏洞。分析發(fā)現(xiàn)，所有的攻擊者不僅對(duì)“攻擊工具的理解力有限，修改能力有限”，即使是APT攻擊團(tuán)伙在技術(shù)的高端和復(fù)雜性上還不如普通的主流網(wǎng)絡(luò)罪犯。

研究人員共分析了70個(gè)惡意程序樣本，包括各種惡意軟件家族，如Plugx、MiniDuke和Tinba。但在這些程序中，無(wú)論是APT還是普通惡意程序的作者都沒(méi)有顯示出對(duì)攻擊技術(shù)的足夠認(rèn)知，大多數(shù)惡名昭著的APT攻擊團(tuán)伙比較低端，遠(yuǎn)稱不上高級(jí)復(fù)雜(sophistication)。

而且，還有一種情況令人大跌眼鏡，竟有超過(guò)一半的樣本對(duì)CVE-2014-1761不起作用。當(dāng)然，這并不意味所有的惡意軟件都不能感染攻擊目標(biāo)，因?yàn)檫€有一些同時(shí)可利用多種漏洞的惡意程序，以及一些利用過(guò)時(shí)漏洞(如CVE- 2012-0158)的惡意程序，可以成功感染目標(biāo)，但成功率也只有30%。

很明顯，現(xiàn)在編寫(xiě)漏洞利用程序比過(guò)去要更加困難了。

安全牛評(píng)：這份報(bào)告結(jié)果證明了惡意軟件環(huán)境的分化，一方面只有很少的人可以編寫(xiě)漏洞利用程序，另一方面大量的人使用漏洞程序，這些人缺乏對(duì)復(fù)雜惡意程序的理解力，但他們照樣可以利用別人編寫(xiě)的軟件發(fā)起所謂的APT攻擊。