本周臭名昭著的自動化攻擊工具——黑洞的幕后網(wǎng)絡(luò)罪犯們發(fā)布了新的工具套裝，研究人員們?nèi)栽谂Σ鸾馑淖钚掳姹镜膬?nèi)部構(gòu)造。

研究人員表示尚不清楚是否該工具的2.0版本已經(jīng)完全發(fā)布所有的新功能，但是在對最新代碼的分析中他們偵測發(fā)現(xiàn)了一些經(jīng)過重組后的能力。用于發(fā)表漏洞的URL生成新算法已宣布，但是代碼中該工具的1.0和2.0版本能夠同時運行，這意味著測試工作可能正在進行中。

“這個不同尋常的組合事實上意味著在完全發(fā)布黑洞 2.0版本到外界前，該工具的作者們或許仍處在beta測試的特定功能階段”，趨勢科技的軟件架構(gòu)主管Jon Oliver寫到。“我們會繼續(xù)監(jiān)控與該新威脅相關(guān)的新信息，并且酌情發(fā)布我們的發(fā)現(xiàn)”。

“黑洞”由于傳播惡意軟件而臭名昭著、它有能夠瞄準各種缺陷的工具。被它盯上的常見缺陷包括瀏覽器組件，例如Flash和Java。該工具套裝的作者也向那些購買了授權(quán)的人更新了該工具。最近它更新利用了Java某個零日漏洞，雖然8月30日Oracle發(fā)布了補丁。

Websense安全研究實驗室的研究人員表示該軟件的更新似乎修改了用于辨識該工具的URL模式，能遮掩IP地址以便讓防病毒軟件無法偵測到它存在于系統(tǒng)中。其域名生成算法發(fā)生變化使得偵測包含惡意代碼的Web頁面更加困難。這些URL被不同地混淆化，更難于辨識。“這個工具的開發(fā)者就像模特在時尚秀上頻繁換穿衣服一樣改變其混淆手法”，Websense的研究員Chris Astacio寫到。

新系統(tǒng)“從頭寫起”

在一篇翻譯為英文的消息中列舉了發(fā)布的新功能，作者將許多性能和設(shè)計上的提高納入其中。添加到控制臺的新功能可以快速地查看統(tǒng)計結(jié)果。監(jiān)控能力提高到可以讓網(wǎng)絡(luò)罪犯們評估網(wǎng)絡(luò)流量的質(zhì)量以及工具的性能。據(jù)該聲明表示，“鑒于1.0版本的客戶端將要需要超過兩年的運作，2.0的版本不是舊貨色的延續(xù)，而是徹底嶄新的、完全從頭重新編寫的系統(tǒng)”。