近日,卡巴斯基实验室发表了一篇题为《漏洞利用工具包——另一种观点》的分析文章。文章作者为卡巴斯基德国全球研发和分析小组总监Marco Preuss以及卡巴斯基高级恶意软件分析师Vicente Diaz。文章揭开了笼罩在漏洞利用工具包世界的一层迷雾,让我们对这些工具包所攻击的漏洞有所了解,并且介绍了这些工具包是如何进行复制和修改,从而保证其作者能够通过这些工具包获取利润。
正如其名称所示,漏洞利用工具包可以对存在于常见软件中的多个漏洞进行攻击。工具包中包含多个恶意程序,主要用来进行自动的“浏览即下载”攻击,对木马等恶意程序进行传播。文章中介绍的漏洞利用工具包均在黑市上有售,其价格从几百元到上千元每款不等。其中最为臭名昭著的漏洞利用工具包为Phoenix、Eleonore以及Neosploit。
根据分析,Internet Explorer、PDF和Java漏洞占常见漏洞利用工具包攻击漏洞的66%。其中很多被利用的漏洞都已经有所时日,针对这些漏洞的补丁早就存在了。但是,这些漏洞利用工具仍然能够攻击成功,原因是很多计算机用户并未对系统进行升级和更新。
对近期的漏洞利用工具包如Crimepack和SEO Sploit等分析后,我们发现这些工具包的编写者对最新的影响范围广的漏洞非常之情,并且会根据情况创造和编写新的恶意软件,专门针对这些漏洞进行攻击。同时,大多数漏洞利用工具包都有共同的根源,如Phoenix漏洞利用工具包就是用了较早的Fire-Pack和ICE-Pack工具的代码。
文章作者总结道,“如果某个漏洞利用工具包非常流行,其作者就能够通过较高的销售量获取更多的利润。所以,漏洞利用工具包为了在竞争激烈的市场上占据一席之位,必须要保证一点,即较高的感染率。所以,很多新的漏洞利用工具编写者会使用已有的并且效果显著的感染手段,使得很多漏洞利用工具存在许多相似之处。”
网友评论