漏洞利用套件（Exploit Kit）简史

恶意软件以及其他不受欢迎的程序有很多种方式进入你的计算机，但在过去几年，最受欢迎的两种手段是电子邮件引诱和使用漏洞利用套件。

现如今，垃圾邮件的威胁已经被人们所熟知，所以现在大多数人都已经知道电子邮件的附件里可能有一些居心叵测的东西，不过漏洞利用工具可能不像垃圾邮件那样被人们熟知。

什么是Exploit Kit？

Exploit Kit即（漏洞）利用套件，它是利用软件应用程序漏洞散布恶意程序的预封装软件，一般来说，漏洞利用套件会包含一系列不同的漏洞利用程序，其中大部分会针对常用的操作系统，Web浏览器或浏览器插件中的漏洞（比如Adobe Flash）。最成功的利用套件会定期更新漏洞利用程序，也就是去掉旧的利用程序，换上新的利用程序。这些漏洞利用套件的运营者会不可避免地青睐于最近刚发布补丁的漏洞，因为大部分潜在受害者都还没来得及打上补丁（别说你没有被警告过）。在某些情况下，利用套件甚至包含零日漏洞的利用程序，而零日漏洞是指未公开或未发布补丁的漏洞。

在十多年前，漏洞利用套件就已经出现，其中诸如Webattacker和MPack等组织创建了后来继承者所完善的模板。当时，基于网络的漏洞并不是一个新事物，但漏洞套件创造者将这些漏洞的利用工具打包在了一起，并作为服务出售给其他网络犯罪分子，甚至某些情况下还会提供技术支持，这就变成了当时的一个新鲜事。

对于地下网络犯罪演变成专业行动，漏洞利用套件的出现是的一个很好的例子。很多攻击者现在已经不试图靠自己传播他们的程序，取而代之的是付钱找个专业的人为自己做。

角色反转

对于漏洞利用套件市场，最好的描述可能就是易失性。占有一定市场份额的利用套件或许会一夜间消失得无影无踪，而这时新的则会迅速弥补这个空缺。

造成这种波动的原因是什么？一个有效的漏洞利用套件是地下网络犯罪这一方面的热门财产，如果你拥有最好的恶意软件分销渠道，那么就可能会成为网络犯罪分子中的“守门员”，并将你的服务出售给出价最高的人。这理所当然地让一些利用套件开发者赚的盆满钵满，不过随着自己越做越大，成为执法机构的主要目标的风险也与日俱增。一次成功的取缔不仅可以抓到一条网络犯罪大鱼，还会瓦解任何依赖该漏洞利用套件进行分发的人。

举个典型的例子：Paunch（或者是Dmitry Fedotov，他的家人和朋友知道这个名字）。Paunch是Blackhole利用套件背后的主角，该工具首次出现在2010年。当他在2013年被捕时，已经有了超过1000名客户，粗略估计，他每月从活动中可以赚取50,000美元，足以让他开个豪车了。

根据协助俄罗斯警方逮捕Paunch的俄罗斯安全公司Group-IB的调查，Paunch从他的业务赚来很多钱，所以能够通过从经纪人那里购买新的0day漏洞来继续创造利润，这使得他反转了角色，即开始定价这些套件，如果有出价20万美元的客户，那么Paunch就卖给他们利用套件。到了2012年，Paunch已经推出了第二个产品：Cool利用套件，这个套件作为“溢价”产品销售，价格更高，但是包含更多有效漏洞。

被逮捕三年后，Paunch在俄罗斯的一个监狱被判处七年徒刑。据俄罗斯内政部估计，他和他的同事从活动中至少获得了230多万美元。他们的客户数量是未知数，但可能是这个数字的倍数。

近年有个利用套件突然下线的例子，Angler于2016年6月消失，它在一个时期内是恶意软件组织使用的最多的利用套件之一，例如勒索软件家族中的TeslaCrypt和CryptXXX等。Angler到底发生了什么，现今还是个谜，但是可能和被指控的50个俄罗斯人有关，这些人属于银行诈骗集团。在这些人被捕后，Angler和其他的网络犯罪行动，包括Dridex和Locky，也都下线了。当Dridex和Locky重现其面目时，Angler从未再出现过。

在最近，主要利用套件经营者是Neutrino，在2017年4月完全消失之前，其在很短的时间内迅速成为最广泛使用的套件之一。

暂时减少&永久减少？

过去一两年内利用套件下线的数量对整体趋势有重大影响。在2016年间，赛门铁克公司对漏洞利用套件的检测下降了60％，我们不知道它是否已经过时了，因为许多攻击者似乎更青睐邮件作为主要分发渠道。

在最近几个月的证据中，我们未能详细了解情况。整个网络攻击活动（其中包括使用漏洞利用套件）从5月开始再次上升，许多漏洞利用套件已经非常活跃，其中最着名的是RIG漏洞利用工具包。可以说漏洞套件不能被忽视。

*参考来源：medium，Covfefe编译，转载请注明来自FreeBuf.COM