漏洞利用工具包(Exploit Kit)——利用软件应用程序中的漏洞散布恶意程序的预封装软件,在信息安全界已不是什么新鲜事。自2006年威胁研究组织在全球范围内认真追踪它们的扩散和发展开始,它们的的流行度便在地下世界稳步提升。
那么,既然漏洞利用工具包并不新潮,究竟是什么让它们的成功持续了一年又一年呢?正如很多产业中的规律一样——此处并未否认网络犯罪是一个全球性产业,创新、功能和易用性,是决胜关键。看看最主要漏洞利用工具包中的两大成功案例:Angler和Nuclear,便能快速领会到定义绝佳漏洞利用工具包的3个特质。
1. 快速利用大量漏洞
Angler漏洞利用工具包设立了一个很高的标准——利用了26个漏洞,是已知漏洞利用工具包中利用漏洞数量最多的。Nuclear漏洞利用工具包也不遑多让,至少利用了19个。仅仅数量还不足以让这些工具包更加有效,将漏洞集成到工具包中的速度也起着举足轻重的作用——某些案例中漏洞才进入国家漏洞数据库几天,工具包里已有了利用程序。对新进发现并修复的漏洞而言,这种采纳速度简直难以置信。
2. 吸收了各种各样的恶意负载交付方式
Angler又彰显了一把在恶意负载上的出类拔萃——拥有10种不同负载,包括:勒索软件、银行木马、凭证收割者、点击诈骗恶意软件(用于通过点击付费广告产生利润的恶意软件)。Nuclear能投送7种恶意负载,主要是勒索软件和银行木马。
3. 便于用户使用
漏洞利用工具包的基础,就是提供了用户友好的方式供不太熟练的攻击者感染受害者。漏洞利用工具包在黑市上都有出售或租赁,很多工具包甚至还有客户支持服务——就像其他很多行业中一样。除此之外,它们还集成了为易用性设计的功能。最近,远程代码执行(RCE)功能就允许攻击者远程执行受害者机器上的恶意代码,都不用在目标设备上。这是漏洞利用易用性的巅峰之作,让用户可以随意投放任意负载,无视设备的物理位置。
理解良好漏洞利用工具包的组成要素,只是防护此类攻击的第一步。此外你还需要做些什么来防止对手使用漏洞利用工具包来对付你的公司呢?
为将精力集中在漏洞利用工具包对你公司的可能影响上,你需要了解自身数字阴影区——数字足迹的子集,包含暴露的员工、高度机密、敏感或专利的技术或公司信息。网络态势感知能助你将“攻击者视角”纳入思考范围,供你用于预防、检测和限制来自漏洞利用工具包的攻击。
虽然当前还不是很明显,但打补丁也是防御策略中的重要一环。补丁失败会为攻击者打开大门;很多此类工具包利用了几年都没打上补丁的漏洞。
或者,你也可以考虑采用反病毒和终端防护技术领域的发展成果。很多企业在提供更先进,更少依赖特征码的技术上正大步迈进。
虽然自2016年6月起,Angler和Nuclear漏洞利用工具包就偃旗息鼓了,我们却还不能放松警惕。这二者的空缺很快就被其他漏洞利用工具包填补,其中最著名的是Sundown和Magnitude,都具备上述共有特征,并因市场竞争而各有创新。作为防御者,持续关注威胁态势发展是十分关键的。而这,起始于知晓好漏洞利用工具包的构成元素。