拆解公共高级威胁情报的衰落

你是否也有过这样的疑问，尤其是在最近几年，读到真正有趣的恶意软件及其深度分析文章变得越来越罕见。

如果你在网络安全行业从业超过十年，一定还记得那种真正发现新威胁时的激动心情。你会在清晨醒来，端起一杯咖啡，然后查看卡巴斯基 GReAT 团队，或者 FireEye（现在的 Mandiant/Google）和 ESET 博客的最新动态，然后发现一份长达六十页的 PDF 报告，读起来就像一部高风险的间谍惊悚小说。

一二十年前，企业安全博客、独立研究人员网站、网络安全专业论坛，是恶意软件 "大片" 的绝对金矿。

吸引我们的不仅仅是对高度复杂的自定义 rootkit（内核级后门）的详细技术拆解，还有狩猎过程本身带来的刺激。

威胁猎手和恶意软件研究人员会发布扣人心弦的分步记录，讲述他们如何在晦涩的基础设施中追踪数字线索，在服务器和协议之间辗转，最终发现那些庞大的模块化工具包，以及其中包含的复杂自定义插件。

在那个时代，我们见证了研究人员对有史以来最复杂代码的解剖。我们看到了 Equation Group、Stuxnet、Flame、Careto（The Mask）、Uroburos/Snake、DarkHotel、The Dukes、Duqu (2)、The Lamberts/Longhorn、Project Sauron 和 FinFisher 等工具的内部构造。这些不仅仅是简单的恶意软件，它们是工程奇迹，使用了自定义虚拟文件系统和隐藏分区。

即使是普通恶意软件领域，也是一个迷人的技术游乐场，研究人员经常追踪并拆解 TDL、Zero Access、Zeus、Dridex、Ursnif、Ploutus 和 Carberp 等重量级恶意软件。

但特别是在最近几年，这种格局发生了巨大变化，留给我们的是一个感觉异常空洞的威胁环境。这篇著名威胁猎人r136a1的文章将尝试给出这一现象背后的原因。

勒索软件和信息窃取器的噪音机器

以经济利益为动机的网络犯罪数量呈爆炸式增长，随之而来的是公共讨论性质的改变。由于勒索软件和信息窃取器会造成即时且灾难性的业务中断，它们主导了安全公司用于博客内容的事件响应案例。然而，从分析师的角度来看，勒索软件在技术上往往是 "无聊" 的。无论是 LockBit、ALPHV 还是 Cl0p，其底层机制基本相同，包括标准加密例程、使用窃取的凭据进行横向移动以及双重勒索策略。

信息窃取器的大规模激增也是如此，例如 RedLine、Lumma 和 Stealc。这些工具相当于数字世界中的打砸抢式抢劫，效率极高但技术基础薄弱。因为安全公司会基于他们在前线实际对抗的威胁撰写报告，以向市场证明其相关性，所以公众看到了大量关于这些经济利益驱动团伙的报道。这种 "噪音机器" 有效地淹没了更罕见的高级间谍活动，让观众产生网络犯罪已经达到复杂性顶峰的印象，而实际上，它只是达到了数量顶峰。

情报的公司化

深度分析的缺失不仅仅与恶意软件本身有关，还与分析结果的归属权有关。安全公司仍在进行令人难以置信的手动威胁狩猎和零日漏洞及高级工具包的逆向工程，但这些情报已经被积极地货币化。

威胁情报付费墙。高度详细的技术拆解、特定的狩猎方法和最新的 Indicators of Compromise（入侵指标，IoC）已成为高端产品。公司将其最深入、最复杂的情报保留给每年支付数十万美元购买私人情报源的企业客户。普通公众只能得到 "经过净化" 的摘要，也就是告诉你发生了什么但不展示具体工作原理的高层概述。

法律和公关限制。在现代社会，数据泄露不再仅仅是技术问题，它们还是法律和公共关系的雷区。对重大入侵事件的响应受到法律团队和公关公司的严格控制。事件响应公司现在受到极其严格的保密协议约束。即使研究人员在客户网络上发现了一个开创性的自定义恶意软件，受害公司也很少允许发布 "精彩" 细节，因为他们担心向其他攻击者暴露自己的安全漏洞。

APT 通货膨胀：当一切都 "高级" 时，没有什么是高级的

公众对 "下一个重大威胁" 失去兴趣的主要原因之一，是 Advanced Persistent Threat（高级持续性威胁，APT）这个术语的大规模通货膨胀。

在早期，APT 称号对威胁猎手或恶意软件研究人员来说是一种荣誉徽章，意味着他们发现了顶级对手。如今，这个术语已经被营销部门和缺乏经验的人劫持。我们现在生活在这样一个时代，来自 APTXX 或 Lazarus 等组织的每一个小型活动都被标榜为突破性事件，即使代码本身是枯燥的复制粘贴工作，严重依赖回收项目。

这种稀释部分源于 "高级" 一词从未以整个行业都认可的方式进行正式或定量定义。在缺乏严格技术标准的情况下，这个词变得完全主观。不同技能水平的人自然会用它来描述完全不同级别的恶意软件。对于初级 SOC 分析师来说，一个多阶段混淆加载器可能看起来 "高级"，而对于资深逆向工程师来说，同样的代码只是脚本小子的普通周末项目。由于没有界定什么是复杂的最低标准，这个术语自然会向最低共同标准漂移，直到 "高级" 实际上失去了所有技术意义。

这种 "营销 APT" 现象造成了危险的信号疲劳。

当每一个使用开源恶意软件的所谓国家支持的脚本小子都被贴上 APT 标签时，社区自然会停止关注。这意味着当真正的 "独角兽" 出现时，也就是具有 Snake 或 Flame 实际复杂性的代码，它往往无法获得应有的关注，因为它被上千篇关于最新 ClickFix 诱饵的报告淹没了。我们已经到了这样一个地步，"APT" 只是 "我们认为为政府工作的人" 的通用同义词，无论他们的工具集是否显示出任何实际的创造力或复杂性。

红队悖论：自定义二进制文件的死亡

具有讽刺意味的是，红队的兴起和攻击性安全工具的民主化，成为了复杂恶意软件开发的棺材钉。行业花了多年时间证明了一个重要观点，你实际上不需要价值数百万美元的自定义复杂工具包就能获胜。红队对于提高安全性至关重要，但它带来了一个巨大的陷阱，即 "双重用途" 困境。当熟练的红队成员发现绕过 EDR（端点检测与响应）或转储凭据的新方法时，他们通常会编写工具并发布到 GitHub 上，以 "回馈社区" 并迫使供应商修补漏洞。

这种利他主义为对手创造了免费研发的场景。从勒索软件附属机构到民族国家组织的真实威胁行为者会立即采用这些工具。实际上，红队成员正在为网络犯罪分子和国家行为者免费进行研究与开发。红队和攻击性安全行业的 "伟大成就" 之一，是成功地向高级威胁行为者证明，他们可以用少得多的努力实现目标。为什么要花几个月时间编写恶意软件，而你可以直接从 GitHub 下载 Sliver、Covenant 或 Mythic？

这种转变也导致了归因挑战。当安全供应商分析一次入侵并发现 Mimikatz（用于凭据转储）或 BloodHound（用于 Active Directory 映射）等工具时，这使得归因比原本更加困难。当使用的工具是学生、防御者和犯罪分子每天都会下载的公共脚本时，你无法自信地说 "这是某个特定的 APT 组织所为"。这一趋势的一个典型例子是 APT29，该组织多次被观察到利用公共攻击性安全项目，包括直接来自 GitHub 的 C2（命令与控制）框架和各种恶意软件加载器，将其高级间谍活动隐藏在常见安全测试工具的表象之后。有恶意传言称，人们几乎可以认为他们在使用这种方法进行某种形式的挑衅。

因为威胁行为者现在使用与 GitHub 上完全相同的开源框架，这些攻击在技术上看起来很复杂但完全通用。恶意软件本身不再是故事，工具的配置和部署才是故事。这对攻击者来说非常有效，但它产生的技术报告却极其枯燥。

Windows 的饱和与向云的转移

复杂 Windows 恶意软件减少的另一个关键因素是，我们已经达到了收益递减的临界点。几十年来，Windows 一直是恶意软件作者的主要画布，但经过三十年的猫鼠游戏，能够发现的新架构技术数量是有限的。微软通过 HVCI（基于虚拟化的代码完整性）、VBS（基于虚拟化的安全性）和改进的内核保护强化了操作系统，使得开发我们在 2010 年代看到的那种内核级 rootkit 的成本显著增加。

因此，研究界和威胁行为者都将注意力转向了其他领域。我们看到大规模迁移到云安全领域，目标是 IAM（身份与访问管理）配置错误、OAuth 令牌盗窃和 SaaS 平台，以及漏洞研究领域，重点关注浏览器、VPN 和边缘设备中的零日漏洞。"智力活动" 已经从恶意软件二进制文件本身转移到初始访问向量和基础设施利用。为什么要编写复杂的 rootkit，而你可以利用边界防火墙中的零日漏洞，在不在 Windows 主机上放置任何文件的情况下获得完整的网络访问权限？

地缘政治过滤器和西方工具包的幽灵化

公共威胁情报领域还存在一个明显的双重标准。你会找到无数关于 Turla 或 Lazarus 的细致报告，但你几乎永远不会在主要安全博客上找到对新的高级西方制造框架的深度分析。西方 IT 安全公司经常故意避免公开披露复杂的西方 APT 恶意软件，因为他们担心这样做可能会破坏针对危险罪犯或恐怖分子的正在进行的执法或情报行动。

行业内可以肯定的是，西方安全公司非常了解各种西方威胁行为者及其高级工具包。他们积极追踪这些组织，并在其产品中为它们创建检测规则，以确保其客户无论攻击来源如何都能受到保护。然而，他们竭尽全力避免公开披露这些信息。披露西方主导的行动通常被视为违反不成文的职业礼貌规则或冒着损害国家利益的风险，这导致了一种经过策划的公共历史，其中 "高级" 是为对手保留的标签，而国内能力被视为不存在的幽灵。

然而，这种片面的报道造成了由操作关切驱动的重大叙事盲点。它往往忽视了这样一个现实，即非西方实体也可能将其复杂恶意软件用于类似目的，追踪高级威胁或管理国家安全利益。通过将 Turla 工具等非西方工具纯粹披露为 "恶意"，同时将西方工具完全隐藏在阴影中，该行业创造了一个扭曲的现实。它暗示唯一正在编写的高级恶意软件是东方的作品，而恶意软件工程的真正顶峰，即西方那些沉默的模块化幽灵，往往仍然远离公众的审视。

高级 OPSEC：线上的幽灵

我们还必须承认，真正的 APT 组织只是变得更擅长消失了。十年前，即使是高级行为者也经常犯错误，他们在二进制文件中留下调试路径，重复使用 C2 基础设施，或者在操作后未能清理痕迹。今天，威胁行为者的上层梯队是幽灵。他们采用严格的 Operational Security（操作安全，OPSEC），利用仅在易失性内存中运行的有效载荷和 "环境指纹识别"，确保他们的自定义工具包仅在特定的受害者机器上执行。如果一个高级行为者今天确实使用了自定义的高度复杂恶意软件，他们会采取极端措施确保研究人员永远不会得到它。当威胁猎手到达时，代码已经自删除，只留下一个空的内存空间和一种曾经有东西存在的感觉。

人才迁移和自动化陷阱

行业中最有经验的恶意软件研究人员和威胁猎手，在很大程度上已被全球安全供应商的庞大机器所吸收，在那里他们经常被无休止的日常操作任务所消耗。六十页公共白皮书的时代已经被专有 "检测规则" 和行为签名的开发所取代，这些技术深度分析现在成为高价订阅服务的沉默隐藏引擎。对于现代研究人员来说，"狩猎" 在很大程度上已经被筛选永无止境的中低级噪音的苦差事所取代，他们不再拆解模块化间谍工具包，而是将大部分时间用于清除通用信息窃取器和低努力勒索软件的数字垃圾。

这种向工业化的转变 ushered in 了一个不稳定的自动化时代。虽然 AI 流水线和沙箱现在处理数百万低级样本的洪流，但这种效率产生了一个重大的盲点。越来越依赖自动化沙箱评分的初级分析师，容易错过那些 "隐形" 杰作，也就是专门设计用于在自动化检查期间保持休眠状态的恶意软件。此外，相当多的资深人士已经完全选择退出高风险的恶意软件领域，转向其他领域中利润丰厚且可以说不那么累人的职业。

结论

激动人心的公共威胁狩猎和令人惊叹的恶意软件拆解的黄金时代可能已经褪色，但它并没有完全消亡。每隔一段时间，就会有一份报告出现，提醒我们我们错过了什么，比如 SentinelOne 最近对 FAST16 的分析，该分析发现了比 Stuxnet 早多年的高精度软件破坏活动。

虽然复杂的自定义工具包肯定仍然存在，但它们在公共领域已不再常见，并且由于本文概述的各种原因很少被报道。行业工具已经被积极商品化，熟练的防御者现在扎根于庞大的企业机器中，在严格的保密协议和高级付费墙后面保护付费客户。归根结底，缺乏史诗般的公共报告并不是威胁已经完全消失的迹象，它只是反映了一个已经成熟、专业化并将其最引人入胜的战斗隐藏在公众视线之外的生态系统。

"免费" 深度分析的大片时代可能已经结束，但复杂性只是转向了私人领域。

展望未来，AI 辅助开发的兴起势必会加剧这一趋势。随着大型语言模型降低恶意软件创建的入门门槛，我们未来可能会看到更密集的通用无聊恶意软件迷雾。

这种 "AI 生成的噪音" 将进一步商品化威胁格局的低端，使得发现真正创新的自定义工具包的任务，变得更像是在数字干草堆中寻找一根针。

原文:

https://r136a1.dev/2026/05/07/where-have-all-the-complex-malware-and-their-analyses-gone/

声明：本文来自黑鸟，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。