什么是漏洞利用工具包?
漏洞利用工具包 是作为一种在浏览 Web 时自动、悄无声息地利用受害者机器上的漏洞的方法而开发的。由于具有高度自动化的特点,漏洞利用工具包已成为犯罪团伙大规模传播恶意软件或远程访问工具(RAT)的最流行方法之一,降低了攻击者的准入门槛。漏洞利用工具包还能有效地为恶意行为者创造利润。漏洞利用工具包的制作者在地下犯罪市场上以漏洞利用工具包服务的形式出租这些活动,主要工具包的价格可达每月数千美元。
攻击者利用漏洞利用工具包的最终目的是以自动化和简化的方式建立对设备的控制。在漏洞利用工具包中,必须发生一系列事件才能成功感染。从登陆页面开始,到执行漏洞利用程序,再到发送有效载荷,每个阶段都必须成功完成,攻击者才能获得主机控制权。
相关视频
为什么网络钓鱼和其他基于 Web 的攻击仍能得逞?
登陆页面
漏洞利用工具包始于一个被入侵的网站。被入侵的页面会将网络流量谨慎地转移到另一个登陆页面。登陆页面中的代码会对受害者的设备进行剖析,以查找任何基于浏览器的易受攻击应用程序。如果设备已打上完整的最新补丁,漏洞利用工具包的流量就会停止。如果存在任何漏洞,被入侵的网站会谨慎地将网络流量转移到漏洞上。
利用
该漏洞利用易受攻击的应用程序在主机上秘密运行恶意软件。目标应用程序包括 Adobe® Flash® Player、Java® Runtime Environment、Microsoft® Silverlight®(其漏洞利用程序是一个文件)和网络浏览器(其漏洞利用程序作为代码在网络流量中发送)。
有效载荷
如果利用成功,利用工具包就会发送有效载荷感染主机。有效载荷可以是检索其他恶意软件的文件下载器,也可以是目标恶意软件本身。对于更复杂的漏洞利用工具包,有效载荷会以加密二进制文件的形式通过网络发送,一旦进入受害者主机,就会被解密并执行。虽然最常见的有效载荷是勒索软件,但还有许多其他有效载荷,包括僵尸网络恶意软件、信息窃取程序和银行木马。
最近的一个例子是,在 "Afraidgate "活动中,有人利用 Neutrino 漏洞利用工具包发送了 Locky 勒索软件。被入侵网站的页面包含一个注入脚本,可将访问者重定向到 Afraidgate 域。一旦连接到被入侵的 URL,服务器就会通过 iframe 返回更多 JavaScript,从而进入 Neutrino 漏洞利用工具包的登陆页面。如果利用 JavaScript 对漏洞的攻击成功,Locky 勒索软件的有效载荷就会送达,主机系统就会锁定用户并将控制权交给攻击者。
随着漏洞利用工具包成为不同技能和目标的攻击者的常用工具,您的系统必须能够防范这些攻击。这可以通过减少攻击面、阻止已知恶意软件和漏洞利用以及快速识别和阻止新威胁来实现。Palo Alto Networks 下一代平台主动拦截已知威胁,同时使用静态和动态分析技术识别未知威胁。任何未知文件、电子邮件和链接都会在可扩展的沙盒环境中进行分析,以确定它们是恶意的还是良性的。如果文件被确定为恶意文件,则会自动创建保护措施,并通过平台内的所有技术提供全面保护,防止漏洞利用工具包在整个生命周期内继续发展。