你所不知道的黑客工具之 EK 篇

EK（Exploit kits）是指一套利用恶意软件感染用户电脑发起攻击的黑客工具，时下最著名的有 Angler EK、Fiesta EK、Hanjuan EK、Nuclear EK、Neutrino EK。

EKs 主要通过漏洞传递内容，因此在当今恶意软件的传播过程中起着基础性作用。其目的在于通过“出名”、甚至不太“出名”的漏洞攻击目标客户端，这些攻击目标通常包括浏览器、JVM、 Adobe 产品，以及常用的应用（包括但不限于）如：媒体播放器、可视化工具、 Microsoft Office 文件等。信息技术或安全专家以外的攻击者都可以轻易掌握其使用方法，这是渗透代码工具包的一个主要特征。攻击者无需知道如何创建漏洞就能从受感染系统中获利。此外，工具包通常会提供易于使用的网页界面，以帮助攻击者追踪感染活动。一些渗透代码工具包还提供远程控制受攻击系统的能力，让攻击者能够为接下来的恶意活动创建互联网犯罪软件平台。

下表（摘自contagiodump）展示了针对相关开发漏洞的多数知名EK的跟踪情况。

你会发现，几乎大多数（但不是全部）漏洞都有对应的渗透代码工具包。因此，根据不同的管理控制台（几乎所有EK都会给攻击者提供管理控制台），最重要的是，根据不同的目标系统，攻击者可在数个EK间进行选择。尽管如今可用的EK有很多，但最常使用的只有其中的一部分。如MalwareBytes的文章所示，以下为最常使用的渗透代码工具包。

现在，你也许知道渗透代码工具包的感染过程了， TrendMicro用简单的视图很好地解释了4个阶段的感染链。

接触是感染的开始阶段，在这一阶段，攻击者试图让他人访问渗透代码工具包的服务器链接。接触通常通过垃圾邮件完成，通过社交工程诱饵，邮件会诱使收信者点击链接。

流量重定向系统指EK操作者根据一定的条件设置筛选受害者的能力。主要通过 SutraTDS 或 KeitaroTDS 等流量指挥系统，在访问EK服务器之前聚合并过滤重定向流量。

一旦用户在接触阶段因受到诱惑而点击了EK服务器链接，并在重定向阶段顺利通过过滤，就会直接进入EK的落地页面。落地页面主要负责分析用户的环境，并决定在随后的攻击中利用何种漏洞。

根据 TrendMicro 的研究（ SweetOrange 除外），笔者注意到下列EK在笔者当前的网络攻击检测中排名几乎相同。

与恶意代码相同，渗透代码工具包处于不断的开发改进过程中。我们每天都能发现不同的变体、改进后的躲避技术和开发集成。

这些工具包简化了恶意软件的传播，一定程度上致使了多样化的攻击手段接连不断，传统安全解决方案越来越难以应对网络安全攻击。如果你想自己的应用在安全方面无懈可击，不要羞于寻求帮助，真的出现漏洞，就为时过晚了。OneRASP 应用安全防护利器, 可以为软件产品提供精准的实时保护，使其免受漏洞所累。

本文转自 OneAPM 官方博客