漏洞利用工具包——另一种观点

 漏洞利用工具包可以对存在于常见软件中的多个漏洞进行攻击。工具包中包含多个恶意程序，主要用来进行自动的“浏览即下载”攻击，对恶意软件进行传播。这些工具包可以在黑市上购买和销售，其价格从几百元到上千元一款不等。此外，目前漏洞利用工具包的租用也非常普遍。正因为如此，使得其市场竞争较为激烈，有众多参与者以及不同的工具编写者。

        这类工具最早出现于几年前， MPack是第一个此类“工具”。之后不久，又出现了ICE-Pack、Fire-Pack以及其他各种工具。目前，较为知名的漏洞利用工具包很多，例如Eleonore、YES Exploit Pack和Crimepack。关于这些漏洞利用工具包的详细信息和分析文章，网络上有很多。

        在对这些工具包进行全方位研究时，我们发现了其很多不同的特点，如下：

漏洞利用工具包的数量

        漏洞利用工具包成功的秘诀是什么？怎样才能使某种漏洞利用工具包变得流行？首先，让我们看一下从2009年1月至今发现的不同漏洞利用工具包的演化过程：

        首先，吸引我们眼球的是不同的漏洞利用工具包所采用的传播模式非常不同。最为成功的几种漏洞利用工具包为Phoenix和Eleonore，其次为Neosploit。下图给出了排名前五位的漏洞利用工具包：

        虽然排名前三位的漏洞利用工具包的位置近期没有变化，但是我们仍然可以看到有新的漏洞利用工具包出现。下面，让我们看一下过去6个月中排名前五位的漏洞利用工具包：

        可以看到，这期间，出现了SEO Sploit Pack和Crimepack这两种新型的漏洞利用工具包。

        让我们看一下这些漏洞利用工具包所攻击的漏洞：

        根据分析，Internet Explorer、PDF和Java漏洞占常见漏洞利用工具包攻击漏洞的66%。那么，这些被攻击的漏洞有多老呢？下图显示了这些漏洞被发现的年份：

        可以看到，大多数被利用的漏洞都已经很老了，针对这些漏洞的补丁程序早就已经发布。但是，这些漏洞利用工具包仍然能够成功对计算机发起攻击。

        有趣的是，漏洞的重复利用率是41%（即同一漏洞被不同漏洞利用工具包利用的比例）。

        此外，为什么Crimepack和SEO Sploit Packs能够在最近几个月变得如此普遍呢？当然，造成这一现象的原因可能有很多，而对漏洞的利用能力则是其中的一个原因。让我们来看一下其他属性：

新的漏洞利用程序

        如果我们将这些漏洞发现的年份分布同排名前五位的漏洞利用工具包所利用的漏洞进行比较，就会发现Crimepack和SEO Sploit Pack所利用的都是较新的漏洞。

攻击目标分布趋势

        PDF、Internet Explorer和Java仍然是排名前三位的最容易遭受攻击的目标。针对这三种应用程序的攻击占全部攻击总量的75%还多。这表明漏洞利用工具包会利用计算机上最常见的应用程序漏洞进行攻击。

漏洞利用工具包的幕后

        我们对超过16000个文件进行了分析，通过分析这些不同的漏洞利用工具包以及不同版本的漏洞利用工具包，我们得到下列数据：

美工和设计

        除了整合漏洞利用程序外，一般漏洞利用工具包还具有一个用户界面，使得网络罪犯可以通过界面了解工具包的各种数据。

Crimepack的登录界面

  
Eleonore的实时数据

  
BlackHole的实时数据

        在文件处理过程中，我们发现这些漏洞利用工具的网页终端使用了不同的图片文件。通常，可以将其分为GIF（较老的格式）和PNG（较新的格式）两类。使用越广泛的漏洞利用工具包所包含的图片文件体积越大。如YES exploit pack、MySploitsKit和Fragus。但是，这些漏洞利用工具包的创建日期同所用图片体积之间并没有联系。例如，非常古老的MPack漏洞利用工具包所使用的图片就非常小，而ICE-Pack（2007）和Siberia（2009）所使用的图片体积就较大。

        漏洞利用工具包的美工和设计取决于其编写者是否注重此方面的投入。例如Eleonore就才用了免费的CSS模板，而其他一些漏洞利用工具包则有自己的美工和设计。

漏洞利用工具家谱，盗窃和抄袭

        我们分析了大量文件，利用这些数据可以制作出一些有趣的统计图表。在分析过程中，我们将所分析的文件之间进行对比，逐个分析各个漏洞利用工具家族不同版本软件的变化，揭示其演化过程。此外，我们还将不同家族的漏洞利用工具包进行比对，发现其可能存在的共同点。事实也表明这些共同点确实存在，如下图所示：

        通过上述图表，可以很容易追踪到哪个工具包使用了其他工具包的代码，或者哪个工具包对其他工具包产生了影响。例如，Phoenix漏洞利用工具包就使用了很多其他较老的Fire-Pack和ICE-Pack工具包的代码。FirePackLite和BleedingLife之间也存在很多相似之处。只有SEO Sploit Pack和ElFiesta除了彼此之间有关联外，同其他漏洞利用工具包没有联系。其他样本均或多或少同一些漏洞利用工具包有关联。下图进一步分析了这种联系，包括了他们之间所包含的相似文件数据：

结论

        所有这些，最终是为了获利，如上图中BlackHole的作者所展示的。如果某款漏洞利用工具包非常受欢迎，其编写者就能够通过销售更多的数量获取更多的利润。

        漏洞利用工具包为了在竞争激烈的市场上占据一席之位，必须要保证一点，即较高的感染率。所以，很多新的漏洞利用工具编写者会使用已有的并且效果显著的感染手段，使得很多漏洞利用工具存在许多相似之处。

        但是，随着漏洞利用工具包逐渐被曝光，这些恶意工具的编写者不得不开始考虑一些其他问题，如安全问题。因为已经有些漏洞利用包中的漏洞已经被发现。

        卡巴斯基实验室将密切关注此类恶意工具的最新发展动向，从而为用户提供针对该类威胁最为完善的安全保护解决方案。

本文转hackfreer51CTO博客，原文链接：http://blog.51cto.com/pnig0s1992/556578，如需转载请自行联系原作者