EK(Exploit kits)是指一套利用恶意软件感染用户电脑发起攻击的黑客工具,时下最著名的有 Angler EK、Fiesta EK、Hanjuan EK、Nuclear EK、Neutrino EK。
EKs 主要通过漏洞传递内容,因此在当今恶意软件的传播过程中起着基础性作用。其目的在于通过“出名”、甚至不太“出名”的漏洞攻击目标客户端,这些攻击目标通常包括浏览器、JVM、 Adobe 产品,以及常用的应用(包括但不限于)如:媒体播放器、可视化工具、 Microsoft Office 文件等。信息技术或安全专家以外的攻击者都可以轻易掌握其使用方法,这是渗透代码工具包的一个主要特征。攻击者无需知道如何创建漏洞就能从受感染系统中获利。此外,工具包通常会提供易于使用的网页界面,以帮助攻击者追踪感染活动。一些渗透代码工具包还提供远程控制受攻击系统的能力,让攻击者能够为接下来的恶意活动创建互联网犯罪软件平台。
下表(摘自contagiodump)展示了针对相关开发漏洞的多数知名EK的跟踪情况。
你会发现,几乎大多数(但不是全部)漏洞都有对应的渗透代码工具包。因此,根据不同的管理控制台(几乎所有EK都会给攻击者提供管理控制台),最重要的是,根据不同的目标系统,攻击者可在数个EK间进行选择。尽管如今可用的EK有很多,但最常使用的只有其中的一部分。如MalwareBytes的文章所示,以下为最常使用的渗透代码工具包。
现在,你也许知道渗透代码工具包的感染过程了, TrendMicro用简单的视图很好地解释了4个阶段的感染链。
接触是感染的开始阶段,在这一阶段,攻击者试图让他人访问渗透代码工具包的服务器链接。接触通常通过垃圾邮件完成,通过社交工程诱饵,邮件会诱使收信者点击链接。
流量重定向系统指EK操作者根据一定的条件设置筛选受害者的能力。主要通过 SutraTDS 或 KeitaroTDS 等流量指挥系统,在访问EK服务器之前聚合并过滤重定向流量。
一旦用户在接触阶段因受到诱惑而点击了EK服务器链接,并在重定向阶段顺利通过过滤,就会直接进入EK的落地页面。落地页面主要负责分析用户的环境,并决定在随后的攻击中利用何种漏洞。
根据 TrendMicro 的研究( SweetOrange 除外),笔者注意到下列EK在笔者当前的网络攻击检测中排名几乎相同。
与恶意代码相同,渗透代码工具包处于不断的开发改进过程中。我们每天都能发现不同的变体、改进后的躲避技术和开发集成。
这些工具包简化了恶意软件的传播,一定程度上致使了多样化的攻击手段接连不断,传统安全解决方案越来越难以应对网络安全攻击。如果你想自己的应用在安全方面无懈可击,不要羞于寻求帮助,真的出现漏洞,就为时过晚了。OneRASP 应用安全防护利器, 可以为软件产品提供精准的实时保护,使其免受漏洞所累。
本文转自 OneAPM 官方博客