Black Hole和Phoenix等攻擊工具包的強(qiáng)大自動化功能讓不太機(jī)靈的攻擊者也能成功發(fā)動攻擊，而近年來，新增的功能讓這些攻擊平臺變得更加有效且更危險。

惠普公司的TippingPoint數(shù)字疫苗實驗室安全研究人員Jason Jones表示，通常在軟件制造商發(fā)布漏洞修復(fù)補(bǔ)丁后的短短幾個小時內(nèi)，惡意軟件架構(gòu)師都會為犯罪軟件工具包增加新的漏洞利用功能。Jones將在 2012年黑帽簡報中談到Web漏洞利用工具包及其復(fù)雜度。他表示，攻擊工具包背后的犯罪分子不僅將工具包授權(quán)給攻擊者，而且還定期為他們提供更新，甚至還有支持服務(wù)。

“這些人的動作非常迅速，”Jones在接受SearchSecurity.com采訪時表示，“我們必須保持警惕，開拓新思路來保護(hù)用戶。”他預(yù)計這些工具包作者將會進(jìn)一步提高其代碼混淆技術(shù)，以讓安全團(tuán)隊很難檢測出工具包是否存在于網(wǎng)站中。他預(yù)計攻擊者將提高 JavaScript代碼混淆，讓惡意代碼躲避檢測針對可疑網(wǎng)站活動的自動化技術(shù)。

安全公司發(fā)現(xiàn)針對Java、Adobe Flash和Microsoft漏洞的攻擊正在穩(wěn)步增加，而這些攻擊大部分來自于Black Hole漏洞利用工具包。與Phoenix及其他攻擊工具包一樣，在黑客論壇上，Black Hole工具包每年許可費(fèi)用高達(dá)1500美元。而去年Black Hole提供免費(fèi)下載，從而導(dǎo)致基于web的攻擊激增。“用戶需要修復(fù)他們的Java、Adobe軟件及其操作系統(tǒng)漏洞，這些工具包不用零日攻擊，如果你及時修復(fù)了漏洞，他們將不能攻擊你。”

攻擊工具包有很多共同點(diǎn)。首先，攻擊者都可以通過一個控制面板對工具包進(jìn)行配置來執(zhí)行各種攻擊。 Jones表示，大多數(shù)工具包都可以配置為忽略特定的IP范圍，以避免攻擊安全公司或者攻擊者不想攻擊的其他實體。此外，這些工具包都有一個顯示報告功能的儀表板，讓攻擊者知道有多少人查看了他們的攻擊網(wǎng)頁以及多少攻擊成功了。

攻擊者通常使用犯罪軟件工具包來建立路過式攻擊，這種工具包可用于攻擊存在漏洞的網(wǎng)站，然后使用這些網(wǎng)站作為攻擊平臺。初始的SQL注入或者跨站腳本(XSS)攻擊能夠幫助攻擊者在網(wǎng)站獲得立足點(diǎn)。然后，攻擊者使用惡意JavaScript，在網(wǎng)頁的HTML內(nèi)加載iFrame，iFrame隨后對瀏覽網(wǎng)頁的用戶發(fā)動攻擊，以確定其操作系統(tǒng)、瀏覽器和瀏覽器組件是否未修復(fù)漏洞。如果發(fā)現(xiàn)一個漏洞，該攻擊工具包就會自動利用這個漏洞，下載惡意軟件到受害者的電腦中。

攻擊工具包可能包含少到4個漏洞利用或者多到12個以上的漏洞。Jones表示，工具包存在的時間越長，它累計的漏洞利用就更多。Jones說：“攻擊工具包主要來自東歐，不過一些較新的攻擊工具包來自于亞洲。雖然這些工具包并不是很復(fù)雜，但它們提供的漏洞利用都是針對最新發(fā)布的已知漏洞?，F(xiàn)在，攻擊工具包競爭激烈，推動著工具包作者不斷為其用戶更新功能。中國漏洞工具包占有市場份額，是因為其工具包中有最新的漏洞，他們看到了別人取得的成功，可能認(rèn)為他們也能獲得同樣的成功，或者做得更好。”