本周臭名昭著的自动化攻击工具——黑洞的幕后网络罪犯们发布了新的工具套装,研究人员们仍在努力拆解它的最新版本的内部构造。
研究人员表示尚不清楚是否该工具的2.0版本已经完全发布所有的新功能,但是在对最新代码的分析中他们侦测发现了一些经过重组后的能力。用于发表漏洞的URL生成新算法已宣布,但是代码中该工具的1.0和2.0版本能够同时运行,这意味着测试工作可能正在进行中。
“这个不同寻常的组合事实上意味着在完全发布黑洞 2.0版本到外界前,该工具的作者们或许仍处在beta测试的特定功能阶段”,趋势科技的软件架构主管Jon Oliver写到。“我们会继续监控与该新威胁相关的新信息,并且酌情发布我们的发现”。
“黑洞”由于传播恶意软件而臭名昭著、它有能够瞄准各种缺陷的工具。被它盯上的常见缺陷包括浏览器组件,例如Flash和Java。该工具套装的作者也向那些购买了授权的人更新了该工具。最近它更新利用了Java某个零日漏洞,虽然8月30日Oracle发布了补丁。
Websense安全研究实验室的研究人员表示该软件的更新似乎修改了用于辨识该工具的URL模式,能遮掩IP地址以便让防病毒软件无法侦测到它存在于系统中。其域名生成算法发生变化使得侦测包含恶意代码的Web页面更加困难。这些URL被不同地混淆化,更难于辨识。“这个工具的开发者就像模特在时尚秀上频繁换穿衣服一样改变其混淆手法”,Websense的研究员Chris Astacio写到。
新系统“从头写起”
在一篇翻译为英文的消息中列举了发布的新功能,作者将许多性能和设计上的提高纳入其中。添加到控制台的新功能可以快速地查看统计结果。监控能力提高到可以让网络罪犯们评估网络流量的质量以及工具的性能。据该声明表示,“鉴于1.0版本的客户端将要需要超过两年的运作,2.0的版本不是旧货色的延续,而是彻底崭新的、完全从头重新编写的系统”。
