你所不知道的黑客工具之 EK 篇

EK（Exploit kits）是指一套利用惡意軟件感染用戶電腦發起攻擊的黑客工具，時下最著名的有 Angler EK、Fiesta EK、Hanjuan EK、Nuclear EK、Neutrino EK。

EKs 主要經過漏洞傳遞內容，所以在當今惡意軟件的傳播過程當中起着基礎性做用。其目的在於經過「出名」、甚至不太「出名」的漏洞攻擊目標客戶端，這些攻擊目標一般包括瀏覽器、JVM、 Adobe 產品，以及經常使用的應用（包括但不限於）如：媒體播放器、可視化工具、 Microsoft Office 文件等。信息技術或安全專家之外的攻擊者均可以輕易掌握其使用方法，這是滲透代碼工具包的一個主要特徵。攻擊者無需知道如何建立漏洞就能從受感染系統中獲利。此外，工具包一般會提供易於使用的網頁界面，以幫助攻擊者追蹤感染活動。一些滲透代碼工具包還提供遠程控制受攻擊系統的能力，讓攻擊者可以爲接下來的惡意活動建立互聯網犯罪軟件平臺。

下表（摘自contagiodump）展現了針對相關開發漏洞的多數知名EK的跟蹤狀況。

你會發現，幾乎大多數（但不是所有）漏洞都有對應的滲透代碼工具包。所以，根據不一樣的管理控制檯（幾乎全部EK都會給攻擊者提供管理控制檯），最重要的是，根據不一樣的目標系統，攻擊者可在數個EK間進行選擇。儘管現在可用的EK有不少，但最常使用的只有其中的一部分。如MalwareBytes的文章所示，如下爲最常使用的滲透代碼工具包。

如今，你也許知道滲透代碼工具包的感染過程了， TrendMicro用簡單的視圖很好地解釋了4個階段的感染鏈。

接觸是感染的開始階段，在這一階段，攻擊者試圖讓他人訪問滲透代碼工具包的服務器連接。接觸一般經過垃圾郵件完成，經過社交工程誘餌，郵件會誘使收信者點擊連接。

流量重定向系統指EK操做者根據必定的條件設置篩選受害者的能力。主要經過 SutraTDS 或 KeitaroTDS 等流量指揮系統，在訪問EK服務器以前聚合並過濾重定向流量。

一旦用戶在接觸階段因受到誘惑而點擊了EK服務器連接，並在重定向階段順利經過過濾，就會直接進入EK的落地頁面。落地頁面主要負責分析用戶的環境，並決定在隨後的攻擊中利用何種漏洞。

根據 TrendMicro 的研究（ SweetOrange 除外），筆者注意到下列EK在筆者當前的網絡攻擊檢測中排名幾乎相同。

與惡意代碼相同，滲透代碼工具包處於不斷的開發改進過程當中。咱們天天都能發現不一樣的變體、改進後的躲避技術和開發集成。

這些工具包簡化了惡意軟件的傳播，必定程度上導致了多樣化的攻擊手段接連不斷，傳統安全解決方案愈來愈難以應對網絡安全攻擊。若是你想本身的應用在安全方面無懈可擊，不要羞於尋求幫助，真的出現漏洞，就爲時過晚了。OneRASP 應用安全防禦利器, 能夠爲軟件產品提供精準的實時保護，使其免受漏洞所累。

本文轉自 OneAPM 官方博客