漏洞利用工具如何運行

多數(shù)漏洞利用工具的作者都使用軟件即服務（SaaS） 作 為其業(yè)務模式。這種模式有時被稱為平臺即服務（PaaS），惡意軟件即服務（MaaS）、漏洞利用工具即服務（EKaaS）。

利用漏洞利用工具即服務（EKaaS）這種模式，漏洞利用工具的制作者會將其出租給制造威脅的不法之徒。漏洞利用工具可以通過廣告或口頭相傳的方式來傳播，而領(lǐng)先的漏洞利用工具的價格往往達到每月幾千美元。例如，2016年最流行的漏洞利用工具之一Neutrino，其定價達到每月7000美元。

漏洞利用工具的所有者向購買者提供管理控制臺來監(jiān)視出租漏洞利用工具的服務器，但購買者必須提供一種攻擊的基礎(chǔ)架構(gòu)來執(zhí)行活動。大規(guī)模的漏洞利用活動所需要的基礎(chǔ)架構(gòu)還可以外包給企圖發(fā)布惡意軟件的犯罪份子。

在登錄到漏洞利用工具的管理控制臺后，主頁面會顯示基本的統(tǒng)計和檢測狀態(tài)。管理控制臺的另一個頁面還可用于上傳惡意軟件。其他頁面提供高級的統(tǒng)計信息，顯示出一些重要信息，例如，有哪些反病毒廠商可以檢測到惡意軟件。

漏洞利用工具的事件

在漏洞利用工具中，為成功實施感染，必須經(jīng)過如下幾步：首先是“著陸頁”，偵察受害者的主機；其次是漏洞利用，主要是利用目標主機上的基于瀏覽器的應用程序的漏洞，最后是上傳網(wǎng)絡(luò)罪犯準備發(fā)布的文件下載器或惡意軟件。

著陸頁面：著陸頁面是漏洞利用工具發(fā)送的第一個項目。在多數(shù)情況下，著陸頁面都包含偵察受害者電腦的代碼，其目的是找到任何有漏洞的基于瀏覽器的應用程序。如果用戶的計算機全面地打上了補丁并且保持了更新，漏洞利用工具在“著陸頁面”就停止了。否則，漏洞利用工具會發(fā)送適當?shù)穆┒蠢贸绦颉?/p>

漏洞利用程序：它利用有漏洞的應用程序，在用戶的電腦上秘密運行惡意軟件。目標應用程序有很多，例如，JRE（Java運行時環(huán)境）、Flash Player或 Web瀏覽器等。漏洞利用程序可以使攻擊者在受害者主機上執(zhí)行任意的代碼。

文件下載器或惡意軟件：在漏洞利用程序成功后，漏洞利用工具會發(fā)送一個可以檢索其他惡意軟件的文件下載器，或者是有其他目的的惡意軟件。由于有了更高級的漏洞利用工具，文件下載器或惡意軟件以加密二進制的形式通過網(wǎng)絡(luò)發(fā)送。在受害者的電腦上，再解密并執(zhí)行此加密的二進制代碼。

漏洞利用活動過程

如前所述，漏洞利用工具無法獨自感染計算機，須用某種方式指引用戶的計算機訪問。漏洞利用工具必須是漏洞利用活動的一部分。

大多數(shù)漏洞利用活動都利用一個受破壞的網(wǎng)站來將網(wǎng)絡(luò)通信指引到一個漏洞利用工具。受到破壞的網(wǎng)站被攻擊者將代碼注入到網(wǎng)頁中，從而指引用戶訪問漏洞利用工具。如此就從受攻擊破壞的網(wǎng)站向漏洞利用工具提供了簡單的事件鏈條。

還有其他的惡意活動可以利用受破壞的網(wǎng)站和漏洞利用工具服務器中的一臺或多臺其他服務器。這些額外的服務器稱為“門”。多數(shù)情況下，“門”僅允許Windows主機連接到漏洞利用工具服務器。如果用戶使用的是蘋果筆記本電腦或Linux主機，“門”在檢查完Web通信中的用戶代理字符串后，不將其轉(zhuǎn)交給漏洞利用工具。

圖1 漏洞利用活動過程

惡意軟件廣告

惡意軟件廣告是利用網(wǎng)絡(luò)廣告來傳播惡意軟件。漏洞利用工具的活動可以利用惡意的網(wǎng)絡(luò)廣告到達成千上萬的潛在受害者。

很多網(wǎng)站都被惡意軟件廣告活動利用了。這些網(wǎng)站并未受到破壞，但其廣告通信卻是惡意的。惡意軟件廣告可以使違法人員逃脫并達到更大規(guī)模的潛在受害者。

防御漏洞利用工具

隨著操作系統(tǒng)和Web瀏覽應用的不斷演變，漏洞利用工具可能會轉(zhuǎn)向其他類型漏洞利用。但是雖然有技術(shù)上的變化，使用基于Web的漏洞利用工具進行自動的漏洞利用可能成為威脅態(tài)勢的一種不變特性。

針對漏洞利用工具的優(yōu)秀防御就如同針對其他相關(guān)惡意軟件攻擊的高效防御一樣。如果說漏洞利用工具就像是槍，那么惡意軟件就是子彈。針對漏洞利用工具的防御應當將關(guān)注點放在槍上（交付機制），而不是子彈上。

企業(yè)對漏洞利用工具活動的響應依賴于相應的惡意軟件。勒索軟件就是一種常見的伎倆。當然勒索軟件不是唯一的惡意負載。信息竊取器、網(wǎng)銀木馬以及其他類型的惡意軟件都使用這種攻擊手段。因為漏洞利用工具是一種可能的受害者無法知曉的秘密方法，所以有效防御非常重要。我們建議企業(yè)利用如下方法實施防御。

減少攻擊面

1.打補丁、更新、升級

由于漏洞利用工具針對的是基于瀏覽器的漏洞，因而最佳的防御應從保證所有應用程序的完全最新開始。各種瀏覽器及Adobe Flash Player等都在發(fā)現(xiàn)補丁后及時發(fā)布補丁。漏洞利用工具的制作者都擅長利用最新的漏洞，這對于忘記打補丁的用戶非常有效。如果可能，用戶的系統(tǒng)應升級到最新。例如，最新的Windows版本有更多的安全控制，可以更有效防止通過漏洞利用工具活動引發(fā)的感染。

2.限制易受攻擊的應用程序的使用

如果可能存在漏洞的應用程序所帶來的風險超過了其業(yè)務利益，企業(yè)應限制訪問，從而減少漏洞利用工具的潛在影響。例如，對于經(jīng)常被利用漏洞的Adobe Flash或Java來說，很多現(xiàn)代的瀏覽器都與其脫離了關(guān)系。管理員應考慮控制特定的用戶組對易發(fā)生漏洞的應用程序的訪問。

3.對網(wǎng)絡(luò)驅(qū)動器的訪問控制

在很多企業(yè)中，網(wǎng)絡(luò)驅(qū)動器連接到了多個系統(tǒng)。如果一個受到感染的系統(tǒng)連接到了一個共享的驅(qū)動器，那么存儲在此網(wǎng)絡(luò)驅(qū)動器上的所有文件都面臨著風險，在漏洞利用工具所帶來的危險是勒索軟件時，問題更嚴重。由此可以將簡單的感染變成一個影響整個企業(yè)用戶的事件。企業(yè)必須實施措施確保對網(wǎng)絡(luò)共享的訪問受到控制。網(wǎng)絡(luò)訪問應當總是僅限于最少數(shù)量的用戶或系統(tǒng)。

預防

1.瀏覽限制

漏洞利用工具可能發(fā)端于很多不同類型的網(wǎng)站，而罪惡的對手可以建立定制的網(wǎng)頁，破壞現(xiàn)有的網(wǎng)站，或者通過網(wǎng)絡(luò)發(fā)布惡意廣告活動。很多企業(yè)都將實施瀏覽限制作為一項策略，但是限制瀏覽對于限制漏洞的暴露也是一種好方法。安全團隊應當考慮能夠阻止對已知的惡意域名、釣魚網(wǎng)站、未知域名的所有通信。

2.基于網(wǎng)絡(luò)的防御

很多漏洞利用工具使用一些較老的漏洞利用伎倆和惡意軟件的組合，安全團隊就可以通過阻止已知威脅來防止感染。應當在網(wǎng)絡(luò)中的所有位置實施入侵防御和反惡意軟件功能，并有能力在無需人為干預的情況下阻止進入網(wǎng)絡(luò)的威脅。

3.基于終端的防御

端點保護方法能夠重點防御基于漏洞利用的攻擊所使用的核心漏洞利用技術(shù)，這比那些僅重視個別攻擊或底層軟件漏洞的技術(shù)更有效。要實現(xiàn)額外的保護，企業(yè)不妨選擇基于端點的解決方案，用以檢測和阻止由漏洞利用工具交付執(zhí)行的惡意文件。

4.未知威脅預防

安全團隊應當確保自己有能力自動檢測和防御未知的威脅，因為攻擊者的漏洞利用工具及其交付的惡意軟件也在不斷變化。安全團隊應廣泛地從其他途徑搜尋情報，并盡可能適時地實施應對措施。

5.數(shù)據(jù)備份

由于勒索軟件是一種常見的漏洞利用工具，企業(yè)應有一套備份和恢復數(shù)據(jù)的可靠進程。即使并非勒索軟件，其他類型的惡意軟件也會給企業(yè)的機密數(shù)據(jù)帶來風險。有效的備份和恢復計劃可減少漏洞利用工具的感染對企業(yè)的影響。擁有原始數(shù)據(jù)的主機不能訪問備份。如數(shù)據(jù)備份不應存放在USB硬盤，或可由網(wǎng)絡(luò)主機訪問的共享驅(qū)動器上。

測試是否能夠恢復備份文件就如同備份一樣重要。如果沒有經(jīng)常的測試恢復過程，在遭受破壞后，就無法確認那些可能導致數(shù)據(jù)恢復失敗的問題。