什麼是攻擊套件?
Exploit kits 是一種在受害者瀏覽網頁時,自動且無聲地利用其機器上的漏洞的方式。由於其高度自動化的特性,漏洞利用工具包已成為犯罪團體大規模散佈惡意軟體或遠端存取工具 (RAT) 的最普遍方法之一,降低了攻擊者的進入門檻。漏洞套件也能有效地為惡意行為者創造利潤。攻擊工具包的製造者在地下犯罪市場以攻擊工具包服務的形式出租這些攻擊活動,主要工具包的價格可達每月數千美元。
攻擊者利用漏洞攻擊套件的最終目的,是以自動化和簡化的方式建立裝置的控制權。在漏洞利用套件中,必須發生一系列事件才能成功感染。從登陸頁面開始,到執行漏洞攻擊,再到傳送有效載荷,每個階段都必須成功完成,攻擊者才能取得主機的控制權。
相關影片
為何網路釣魚和其他網頁式攻擊仍能得逞?
登陸頁面
攻擊工具包從一個已被入侵的網站開始。受到攻擊的頁面會隱密地將網頁流量轉移到另一個登陸頁面。登陸頁面中的程式碼會剖析受害者裝置中是否有任何易受攻擊的瀏覽器型應用程式。如果裝置已完全修補並更新,攻擊套件的流量就會停止。如果有任何漏洞,受攻擊的網站會謹慎地將網路流量轉移到漏洞。
剝削
此漏洞利用易受攻擊的應用程式在主機上秘密執行惡意軟體。目標應用程式包括 Adobe® Flash® Player、Java® Runtime Environment、Microsoft® Silverlight®(其攻擊程式為檔案)和 Web 瀏覽器(其攻擊程式為網頁流量中的程式碼)。
有效載荷
如果攻擊成功,攻擊工具組就會傳送有效載荷感染主機。有效載荷可以是擷取其他惡意軟體的檔案下載器,或是預期的惡意軟體本身。對於更複雜的攻擊套件,有效負載會以加密的二進位檔透過網路傳送,一旦進入受害者的主機,就會被解密並執行。雖然最常見的有效載荷是勒索軟體,但還有許多其他載荷,包括殭屍網絡惡意軟體、資訊竊取者和銀行特洛伊木馬。
最近的一個例子是在 Afraidgate 活動中利用 Neutrino 攻擊套件傳送 Locky 勒索軟體。受攻擊網站的網頁包含注入的指令碼,可將訪客重定向至 Afraidgate 網域。一旦連線到被攻擊的 URL,伺服器會以 iframe 傳回更多 JavaScript,並導向 Neutrino 攻擊套件的登陸頁面。如果利用 JavaScript 的漏洞攻擊成功,就會傳送 Locky 勒索軟體的有效載荷,主機系統會鎖定使用者,並將控制權交給攻擊者。
由於攻擊者的技能和目的各有不同,利用工具包已成為攻擊者的常用工具,因此您的系統必須能夠防禦這些攻擊。這可以透過減少攻擊面、阻擋已知的惡意軟體和漏洞,以及快速識別和阻止新的威脅來實現。Palo Alto Networks 下一代網路平台主動封鎖已知威脅,同時使用靜態和動態分析技術識別未知威脅。任何未知的檔案、電子郵件和連結都會在可擴充的沙箱環境中進行分析,以判斷它們是惡意的還是良性的。如果確定檔案是惡意的,就會自動建立保護機制,並透過平台內的所有技術提供全面保護,防止攻擊套件在整個生命週期中進一步惡化。
