Black Hole和Phoenix等攻击工具包的强大自动化功能让不太机灵的攻击者也能成功发动攻击,而近年来,新增的功能让这些攻击平台变得更加有效且更危险。
惠普公司的TippingPoint数字疫苗实验室安全研究人员Jason Jones表示,通常在软件制造商发布漏洞修复补丁后的短短几个小时内,恶意软件架构师都会为犯罪软件工具包增加新的漏洞利用功能。Jones将在 2012年黑帽简报中谈到Web漏洞利用工具包及其复杂度。他表示,攻击工具包背后的犯罪分子不仅将工具包授权给攻击者,而且还定期为他们提供更新,甚至还有支持服务。
“这些人的动作非常迅速,”Jones在接受SearchSecurity.com采访时表示,“我们必须保持警惕,开拓新思路来保护用户。”他预计这些工具包作者将会进一步提高其代码混淆技术,以让安全团队很难检测出工具包是否存在于网站中。他预计攻击者将提高 JavaScript代码混淆,让恶意代码躲避检测针对可疑网站活动的自动化技术。
安全公司发现针对Java、Adobe Flash和Microsoft漏洞的攻击正在稳步增加,而这些攻击大部分来自于Black Hole漏洞利用工具包。与Phoenix及其他攻击工具包一样,在黑客论坛上,Black Hole工具包每年许可费用高达1500美元。而去年Black Hole提供免费下载,从而导致基于web的攻击激增。“用户需要修复他们的Java、Adobe软件及其操作系统漏洞,这些工具包不用零日攻击,如果你及时修复了漏洞,他们将不能攻击你。”
攻击工具包有很多共同点。首先,攻击者都可以通过一个控制面板对工具包进行配置来执行各种攻击。 Jones表示,大多数工具包都可以配置为忽略特定的IP范围,以避免攻击安全公司或者攻击者不想攻击的其他实体。此外,这些工具包都有一个显示报告功能的仪表板,让攻击者知道有多少人查看了他们的攻击网页以及多少攻击成功了。
攻击者通常使用犯罪软件工具包来建立路过式攻击,这种工具包可用于攻击存在漏洞的网站,然后使用这些网站作为攻击平台。初始的SQL注入或者跨站脚本(XSS)攻击能够帮助攻击者在网站获得立足点。然后,攻击者使用恶意JavaScript,在网页的HTML内加载iFrame,iFrame随后对浏览网页的用户发动攻击,以确定其操作系统、浏览器和浏览器组件是否未修复漏洞。如果发现一个漏洞,该攻击工具包就会自动利用这个漏洞,下载恶意软件到受害者的电脑中。
攻击工具包可能包含少到4个漏洞利用或者多到12个以上的漏洞。Jones表示,工具包存在的时间越长,它累计的漏洞利用就更多。Jones说:“攻击工具包主要来自东欧,不过一些较新的攻击工具包来自于亚洲。虽然这些工具包并不是很复杂,但它们提供的漏洞利用都是针对最新发布的已知漏洞。现在,攻击工具包竞争激烈,推动着工具包作者不断为其用户更新功能。中国漏洞工具包占有市场份额,是因为其工具包中有最新的漏洞,他们看到了别人取得的成功,可能认为他们也能获得同样的成功,或者做得更好。”