黑帽2012：Phoenix、Black Hole等漏洞工具包复杂度提

　　天选天选团队惠普公司的TippingPoint数字疫苗实验室安全研究人员Jason Jones表示，通常在软件制造商发布漏洞修复补丁后的短短几个小时内，恶意软件架构师都会为犯罪软件工具包增加新的漏洞利用功能。Jones将在2012年黑帽简报中谈到Web漏洞利用工具包及其复杂度。他表示，攻击工具包背后的犯罪分子不仅将工具包授权给攻击者，而且还定期为他们提供更新，甚至还有支持服务。

　　“这些人的动作非常迅速，”Jones在接受访时表示，“我们必须保持警惕，开拓新思路来保护用户。”他预计这些工具包作者将会进一步提高其代码混淆技术，以让安全团队很难检测出工具包是否存在于网站中。他预计攻击者将提高JavaScript代码混淆，让恶意代码躲避检测针对可疑网站活动的自动化技术。

　　安全公司发现针对Java、Adobe Flash和Microsoft漏洞的攻击正在稳步增加，而这些攻击大部分来自于Black Hole漏洞利用工具包。与Phoenix及其他攻击工具包一样，在黑客论坛上，Black Hole工具包每年许可费用高达1500美元。而去年Black Hole提供免费下载，从而导致基于web的攻击激增。“用户需要修复他们的Java、Adobe软件及其操作系统漏洞，这些工具包不用零日攻击，如果你及时修复了漏洞，他们将不能攻击你。”

　　攻击工具包有很多共同点。首先，攻击者都可以通过一个控制面板对工具包进行配置来执行各种攻击。Jones表示，大多数工具包都可以配置为忽略特定的IP范围，以避免攻击安全公司或者攻击者不想攻击的其他实体。此外，这些工具包都有一个显示报告功能的仪表板，让攻击者知道有多少人查看了他们的攻击网页以及多少攻击成功了。

　　攻击者通常使用犯罪软件工具包来建立路过式攻击，这种工具包可用于攻击存在漏洞的网站，然后使用这些网站作为攻击平台。初始的SQL注入或者跨站脚本(XSS)攻击能够帮助攻击者在网站获得立足点。然后，攻击者使用恶意JavaScript，在网页的HTML内加载iFrame，iFrame随后对浏览网页的用户发动攻击，以确定其操作系统、浏览器和浏览器组件是否未修复漏洞。如果发现一个漏洞，该攻击工具包就会自动利用这个漏洞，下载恶意软件到受害者的电脑中。

　　攻击工具包可能包含少到4个漏洞利用或者多到12个以上的漏洞。Jones表示，工具包存在的时间越长，它累计的漏洞利用就更多。Jones说：“攻击工具包主要来自东欧，不过一些较新的攻击工具包来自于亚洲。虽然这些工具包并不是很复杂，但它们提供的漏洞利用都是针对最新发布的已知漏洞。现在，攻击工具包竞争激烈，推动着工具包作者不断为其用户更新功能。中国漏洞工具包占有市场份额，是因为其工具包中有最新的漏洞，他们看到了别人取得的成功，可能认为他们也能获得同样的成功，或者做得更好。”