你所不知道的黑客工具之 EK 篇

EK（Exploit kits）是指一套利用恶意软件感染用户电脑发起攻击的黑客工具，时下最著名的有 Angler EK、Fiesta EK、Hanjuan EK、Nuclear EK、Neutrino EK。

EKs 主要经过漏洞传递内容，所以在当今恶意软件的传播过程当中起着基础性做用。其目的在于经过“出名”、甚至不太“出名”的漏洞攻击目标客户端，这些攻击目标一般包括浏览器、JVM、 Adobe 产品，以及经常使用的应用（包括但不限于）如：媒体播放器、可视化工具、 Microsoft Office 文件等。信息技术或安全专家之外的攻击者均可以轻易掌握其使用方法，这是渗透代码工具包的一个主要特征。攻击者无需知道如何建立漏洞就能从受感染系统中获利。此外，工具包一般会提供易于使用的网页界面，以帮助攻击者追踪感染活动。一些渗透代码工具包还提供远程控制受攻击系统的能力，让攻击者可以为接下来的恶意活动建立互联网犯罪软件平台。

下表（摘自contagiodump）展现了针对相关开发漏洞的多数知名EK的跟踪状况。

你会发现，几乎大多数（但不是所有）漏洞都有对应的渗透代码工具包。所以，根据不一样的管理控制台（几乎全部EK都会给攻击者提供管理控制台），最重要的是，根据不一样的目标系统，攻击者可在数个EK间进行选择。尽管现在可用的EK有不少，但最常使用的只有其中的一部分。如MalwareBytes的文章所示，如下为最常使用的渗透代码工具包。

如今，你也许知道渗透代码工具包的感染过程了， TrendMicro用简单的视图很好地解释了4个阶段的感染链。

接触是感染的开始阶段，在这一阶段，攻击者试图让他人访问渗透代码工具包的服务器连接。接触一般经过垃圾邮件完成，经过社交工程诱饵，邮件会诱使收信者点击连接。

流量重定向系统指EK操做者根据必定的条件设置筛选受害者的能力。主要经过 SutraTDS 或 KeitaroTDS 等流量指挥系统，在访问EK服务器以前聚合并过滤重定向流量。

一旦用户在接触阶段因受到诱惑而点击了EK服务器连接，并在重定向阶段顺利经过过滤，就会直接进入EK的落地页面。落地页面主要负责分析用户的环境，并决定在随后的攻击中利用何种漏洞。

根据 TrendMicro 的研究（ SweetOrange 除外），笔者注意到下列EK在笔者当前的网络攻击检测中排名几乎相同。

与恶意代码相同，渗透代码工具包处于不断的开发改进过程当中。咱们天天都能发现不一样的变体、改进后的躲避技术和开发集成。

这些工具包简化了恶意软件的传播，必定程度上导致了多样化的攻击手段接连不断，传统安全解决方案愈来愈难以应对网络安全攻击。若是你想本身的应用在安全方面无懈可击，不要羞于寻求帮助，真的出现漏洞，就为时过晚了。OneRASP 应用安全防御利器, 能够为软件产品提供精准的实时保护，使其免受漏洞所累。

本文转自 OneAPM 官方博客