漏洞利用工具包(Exploit Kit)——利用軟件應(yīng)用程序中的漏洞散布惡意程序的預(yù)封裝軟件，在信息安全界已不是什么新鮮事。自2006年威脅研究組織在全球范圍內(nèi)認(rèn)真追蹤它們的擴(kuò)散和發(fā)展開始，它們的的流行度便在地下世界穩(wěn)步提升。

[[177618]]

那么，既然漏洞利用工具包并不新潮，究竟是什么讓它們的成功持續(xù)了一年又一年呢?正如很多產(chǎn)業(yè)中的規(guī)律一樣——此處并未否認(rèn)網(wǎng)絡(luò)犯罪是一個(gè)全球性產(chǎn)業(yè)，創(chuàng)新、功能和易用性，是決勝關(guān)鍵?？纯醋钪饕┒蠢霉ぞ甙械膬纱蟪晒Π咐篈ngler和Nuclear，便能快速領(lǐng)會(huì)到定義絕佳漏洞利用工具包的3個(gè)特質(zhì)。

1. 快速利用大量漏洞

Angler漏洞利用工具包設(shè)立了一個(gè)很高的標(biāo)準(zhǔn)——利用了26個(gè)漏洞，是已知漏洞利用工具包中利用漏洞數(shù)量最多的。Nuclear漏洞利用工具包也不遑多讓，至少利用了19個(gè)。僅僅數(shù)量還不足以讓這些工具包更加有效，將漏洞集成到工具包中的速度也起著舉足輕重的作用——某些案例中漏洞才進(jìn)入國(guó)家漏洞數(shù)據(jù)庫(kù)幾天，工具包里已有了利用程序。對(duì)新進(jìn)發(fā)現(xiàn)并修復(fù)的漏洞而言，這種采納速度簡(jiǎn)直難以置信。

2. 吸收了各種各樣的惡意負(fù)載交付方式

Angler又彰顯了一把在惡意負(fù)載上的出類拔萃——擁有10種不同負(fù)載，包括：勒索軟件、銀行木馬、憑證收割者、點(diǎn)擊詐騙惡意軟件(用于通過(guò)點(diǎn)擊付費(fèi)廣告產(chǎn)生利潤(rùn)的惡意軟件)。Nuclear能投送7種惡意負(fù)載，主要是勒索軟件和銀行木馬。

3. 便于用戶使用

漏洞利用工具包的基礎(chǔ)，就是提供了用戶友好的方式供不太熟練的攻擊者感染受害者。漏洞利用工具包在黑市上都有出售或租賃，很多工具包甚至還有客戶支持服務(wù)——就像其他很多行業(yè)中一樣。除此之外，它們還集成了為易用性設(shè)計(jì)的功能。最近，遠(yuǎn)程代碼執(zhí)行(RCE)功能就允許攻擊者遠(yuǎn)程執(zhí)行受害者機(jī)器上的惡意代碼，都不用在目標(biāo)設(shè)備上。這是漏洞利用易用性的巔峰之作，讓用戶可以隨意投放任意負(fù)載，無(wú)視設(shè)備的物理位置。

理解良好漏洞利用工具包的組成要素，只是防護(hù)此類攻擊的第一步。此外你還需要做些什么來(lái)防止對(duì)手使用漏洞利用工具包來(lái)對(duì)付你的公司呢?

為將精力集中在漏洞利用工具包對(duì)你公司的可能影響上，你需要了解自身數(shù)字陰影區(qū)——數(shù)字足跡的子集，包含暴露的員工、高度機(jī)密、敏感或?qū)＠募夹g(shù)或公司信息。網(wǎng)絡(luò)態(tài)勢(shì)感知能助你將“攻擊者視角”納入思考范圍，供你用于預(yù)防、檢測(cè)和限制來(lái)自漏洞利用工具包的攻擊。

雖然當(dāng)前還不是很明顯，但打補(bǔ)丁也是防御策略中的重要一環(huán)。補(bǔ)丁失敗會(huì)為攻擊者打開大門;很多此類工具包利用了幾年都沒(méi)打上補(bǔ)丁的漏洞。

或者，你也可以考慮采用反病毒和終端防護(hù)技術(shù)領(lǐng)域的發(fā)展成果。很多企業(yè)在提供更先進(jìn)，更少依賴特征碼的技術(shù)上正大步邁進(jìn)。

雖然自2016年6月起，Angler和Nuclear漏洞利用工具包就偃旗息鼓了，我們卻還不能放松警惕。這二者的空缺很快就被其他漏洞利用工具包填補(bǔ)，其中最著名的是Sundown和Magnitude，都具備上述共有特征，并因市場(chǎng)競(jìng)爭(zhēng)而各有創(chuàng)新。作為防御者，持續(xù)關(guān)注威脅態(tài)勢(shì)發(fā)展是十分關(guān)鍵的。而這，起始于知曉好漏洞利用工具包的構(gòu)成元素。