過去的幾個月,漏洞利用工具很忙。
先是去年九月,研究人員檢測到一次勒索攻擊。攻擊者利用過期的內(nèi)容管理系統(tǒng)(CMS),將用戶重定向到裝有 Neutrino 漏洞工具包和 Teslacrypt 勒索軟件的惡意域名。
然后過了兩個月,研究人員又發(fā)現(xiàn)了另一波勒索軟件攻擊。這次,攻擊者使用了 Angler 和 Cryptowall 4.0。然后到了2016年,Neutrino 和 RIG 又開發(fā)了新的攻擊策略、攻擊載荷和幕后服務(wù)器,但這已經(jīng)讓人習(xí)以為常了。
以上所有活動意味著,漏洞利用包正是網(wǎng)絡(luò)犯罪崛起背后的主力。需要注意的是,漏洞包目前已經(jīng)不只由獨立的個人犯罪者使用了。目前,新興的“惡意軟件即服務(wù)”的模式可以幫助缺乏技術(shù)經(jīng)驗的個人購買或租賃 Angler、Neutrino、RIG 等流行的漏洞利用工具包。
上述商業(yè)模型的發(fā)展毫無疑問將促進漏洞利用工具包市場的活躍。該市場在過去幾年里正蓬勃發(fā)展,在可期的未來仍將增長迅速。
要解決漏洞利用包所帶來的挑戰(zhàn),必須更加深入地理解“漏洞利用即服務(wù)”模型。Heimdal Security 近期發(fā)布了一篇博客,探討了該商業(yè)模型興起的原因。
答案最終可以歸到以下四個元素:
#1. 易用
漏洞利用工具包的主要賣點之一是易用性。所有內(nèi)容都經(jīng)過預(yù)編碼,客戶可以將內(nèi)嵌的控制臺和對用戶友好的 Web 界面結(jié)合使用,策劃自己所需要的網(wǎng)絡(luò)攻擊。
有時候,如果用戶真的遇到了麻煩,他們還可以選擇與技術(shù)支持代表聯(lián)系,獲取漏洞包配置方面的協(xié)助,或者啟用更加高級的功能。
#2. 性價比
漏洞利用即服務(wù)商業(yè)模型崛起背后的第二個原因是其宣傳方式。大多數(shù)漏洞工具包都有買斷和出租兩種銷售模式,這樣可以最大化滿足不同消費能力的網(wǎng)絡(luò)罪犯。此外,它們還能夠向被感染網(wǎng)站穩(wěn)定地傳輸網(wǎng)絡(luò)流量。
這保證了消費者可以用低投入換取優(yōu)秀的投資回報,如果他們使用 Angler 、Neutrino 等最為著名的漏洞工具包,報酬將更為可觀。此外,很多漏洞包都帶有安裝即收費功能,消費者可以只為成功的感染買單,進一步降低攻擊成本。
#3. 靈活
漏洞工具包即服務(wù)也為攻擊者提供了很強的靈活性。大多數(shù)漏洞工具包都帶有多種配置模式及插件,攻擊者甚至可以選擇自制惡意軟件作為主要的攻擊載荷,可定制性非常高。
因此消費者的選擇就很多了。他們可以使用勒索軟件鎖定受害者在使用的設(shè)備、用銀行木馬竊取個人信息、讓受感染設(shè)備加入僵尸網(wǎng)絡(luò),或者發(fā)動針對性攻擊。
每種漏洞利用包都內(nèi)置了關(guān)于 Adobe Flash、Web 瀏覽器等應(yīng)用的漏洞,這讓它們完全有能力做到這些。
#4. 隱匿
如果將漏洞利用工具打包,意味著暴露面就越少。因此,大多數(shù)漏洞包都附帶了多種逃避傳統(tǒng)反病毒軟件檢測的方法。比如使用多態(tài)滴入、每天更改目標設(shè)備上的惡意代碼、使用比特幣作為支付手段等。
結(jié)論
易用、性價比、靈活和隱匿,漏洞包即服務(wù)在未來將繼續(xù)吸引網(wǎng)絡(luò)犯罪者。