Web全自动攻击工具(Web Exploit Kit)的现状分析

分类:
标签:
分享到:

Cocoa最近才知道了臭名昭著的Blackhole Exploit Kit,不禁感叹网络自动化攻击的发展实在迅猛。
本次阅读的内容是HP公司研究员在Black Hat 2012上分享的一篇PPT,介绍了Exploit Kit的前世今生,并且着重分析了Black Hole、Phoenix等几个著名的Exploit Kit。

顺便提一下,目前国内对于“Exploit Kit”并没有确定的中文译名,Cocoa暂且将其译为“全自动攻击工具”,如有更好的翻译欢迎介绍给我。

  1. 什么是Exploit Kit?
    预打包了安装程序、控制面板、恶意代码以及相当数量的攻击工具(但没什么0Day)、通常基于PHP的一个软件。
  2. Exploit Kit经济体制
    • 价格在成百上千美元
    • 可以按日/周/月来付租金
    • 提供可以躲避审查的主机托管选项
    • 甚至包含了最终用户许可协议
    • 可以在不同kit之间择优选择
    • 提供日常升级服务
  3. 活跃的Exploit Kit

  4. Exploit Kit的典型攻击方式

  5. Black Hole Exploit Kit
    • 最流行的Exploit Kit,诞生于2010年,目前版本1.2.3(Cocoa注:已经到2.0了)
    • 主要以Java漏洞利用为主,擅长JS混淆,包含了0day(CVE-2012-1889)。
    • 媒体广泛报道,曾被用于入侵Mysql.com、USPS、Wordpress等
    • 不仅可以网页挂马,还可以利用垃圾邮件来感染主机
    • 从其控制面板可以看出,83%的漏洞都是Java漏洞
    • URL特征可预测
    • 对JS和PDF作混淆,其中JS的shellcode容易被检测出来(详见原文)
  6. Phoenix Exploit Kit
    • 2007年出现,目前版本3.1
    • 提供完整版和迷你版,迷你版只能供一个犯罪团伙使用,而完整版可以供多个
    • 记录访问者,对每个IP只会启动利用工具一次
    • 包含大量的漏洞利用工具可供使用
    • 也可以对JS和PDF进行混淆(详见原文)
  7. 其他Exploit Kit
    2012年出现了大量的新工具,不少来自中国,但是更多的来自东欧。部分工具出现了然后又消失了,但是还有许多需要跟进研究。
    • Yang Pack
      • 2011年末或者2012年年初出山作案,中国出品(Cocoa:必属精品)
      • 包含3个利用工具,很少能被检测出来
      • 类似很多来自中国的工具:无PHP、无数据库后台、仅仅包含静态HTML文件
    • Sweet Orange Exploit Kit
      • 2012年出山,作案痕迹细微
      • 作者只为老牌犯罪集团提供信息
      • 价格在2500美元,租金则是1400美刀
    • Nuclear Pack v2
      • 沉寂几年后在2012年携4个利用工具重出江湖
      • 首次引入了反蜜罐的功能
  8. 总结
    • 自动化攻击变得更老于世故:更新的利用工具、变幻莫测的逃逸/混淆手段、作者追逐利益
    • 检测新的逃逸技术要花功夫
    • 记得给JAVA打补丁!
参考文献
下篇阅读预告:SQL Injection Scanning Detected in WordPress Error Logs


本文地址:http://www.hcocoa.com/2012/12/15/The-State-of-Web-Exploit-Kits
原创文章如转载,请注明链接: 转自HCocoa的博客
你可能还会对下列文章感兴趣:

2条评论 你不想来一发么↓ 顺序排列 倒序排列

    向下滚动可载入更多评论,或者点这里禁止自动加载

    想说点什么呢?

    您需要登录您的Google账号才能进行评论。想要匿名评论?试试新的评论框吧↓