防御漏洞利用工具

漏洞利用工具如何運(yùn)行

多數(shù)漏洞利用工具的作者都使用軟件即服務(wù)（SaaS） 作 為其業(yè)務(wù)模式。這種模式有時(shí)被稱(chēng)為平臺(tái)即服務(wù)（PaaS），惡意軟件即服務(wù)（MaaS）、漏洞利用工具即服務(wù)（EKaaS）。

利用漏洞利用工具即服務(wù)（EKaaS）這種模式，漏洞利用工具的制作者會(huì)將其出租給制造威脅的不法之徒。漏洞利用工具可以通過(guò)廣告或口頭相傳的方式來(lái)傳播，而領(lǐng)先的漏洞利用工具的價(jià)格往往達(dá)到每月幾千美元。例如，2016年最流行的漏洞利用工具之一Neutrino，其定價(jià)達(dá)到每月7000美元。

漏洞利用工具的所有者向購(gòu)買(mǎi)者提供管理控制臺(tái)來(lái)監(jiān)視出租漏洞利用工具的服務(wù)器，但購(gòu)買(mǎi)者必須提供一種攻擊的基礎(chǔ)架構(gòu)來(lái)執(zhí)行活動(dòng)。大規(guī)模的漏洞利用活動(dòng)所需要的基礎(chǔ)架構(gòu)還可以外包給企圖發(fā)布惡意軟件的犯罪份子。

在登錄到漏洞利用工具的管理控制臺(tái)后，主頁(yè)面會(huì)顯示基本的統(tǒng)計(jì)和檢測(cè)狀態(tài)。管理控制臺(tái)的另一個(gè)頁(yè)面還可用于上傳惡意軟件。其他頁(yè)面提供高級(jí)的統(tǒng)計(jì)信息，顯示出一些重要信息，例如，有哪些反病毒廠(chǎng)商可以檢測(cè)到惡意軟件。

漏洞利用工具的事件

在漏洞利用工具中，為成功實(shí)施感染，必須經(jīng)過(guò)如下幾步：首先是“著陸頁(yè)”，偵察受害者的主機(jī)；其次是漏洞利用，主要是利用目標(biāo)主機(jī)上的基于瀏覽器的應(yīng)用程序的漏洞，最后是上傳網(wǎng)絡(luò)罪犯準(zhǔn)備發(fā)布的文件下載器或惡意軟件。

著陸頁(yè)面：著陸頁(yè)面是漏洞利用工具發(fā)送的第一個(gè)項(xiàng)目。在多數(shù)情況下，著陸頁(yè)面都包含偵察受害者電腦的代碼，其目的是找到任何有漏洞的基于瀏覽器的應(yīng)用程序。如果用戶(hù)的計(jì)算機(jī)全面地打上了補(bǔ)丁并且保持了更新，漏洞利用工具在“著陸頁(yè)面”就停止了。否則，漏洞利用工具會(huì)發(fā)送適當(dāng)?shù)穆┒蠢贸绦颉?/p>

漏洞利用程序：它利用有漏洞的應(yīng)用程序，在用戶(hù)的電腦上秘密運(yùn)行惡意軟件。目標(biāo)應(yīng)用程序有很多，例如，JRE（Java運(yùn)行時(shí)環(huán)境）、Flash Player或 Web瀏覽器等。漏洞利用程序可以使攻擊者在受害者主機(jī)上執(zhí)行任意的代碼。

文件下載器或惡意軟件：在漏洞利用程序成功后，漏洞利用工具會(huì)發(fā)送一個(gè)可以檢索其他惡意軟件的文件下載器，或者是有其他目的的惡意軟件。由于有了更高級(jí)的漏洞利用工具，文件下載器或惡意軟件以加密二進(jìn)制的形式通過(guò)網(wǎng)絡(luò)發(fā)送。在受害者的電腦上，再解密并執(zhí)行此加密的二進(jìn)制代碼。

漏洞利用活動(dòng)過(guò)程

如前所述，漏洞利用工具無(wú)法獨(dú)自感染計(jì)算機(jī)，須用某種方式指引用戶(hù)的計(jì)算機(jī)訪(fǎng)問(wèn)。漏洞利用工具必須是漏洞利用活動(dòng)的一部分。

大多數(shù)漏洞利用活動(dòng)都利用一個(gè)受破壞的網(wǎng)站來(lái)將網(wǎng)絡(luò)通信指引到一個(gè)漏洞利用工具。受到破壞的網(wǎng)站被攻擊者將代碼注入到網(wǎng)頁(yè)中，從而指引用戶(hù)訪(fǎng)問(wèn)漏洞利用工具。如此就從受攻擊破壞的網(wǎng)站向漏洞利用工具提供了簡(jiǎn)單的事件鏈條。

還有其他的惡意活動(dòng)可以利用受破壞的網(wǎng)站和漏洞利用工具服務(wù)器中的一臺(tái)或多臺(tái)其他服務(wù)器。這些額外的服務(wù)器稱(chēng)為“門(mén)”。多數(shù)情況下，“門(mén)”僅允許Windows主機(jī)連接到漏洞利用工具服務(wù)器。如果用戶(hù)使用的是蘋(píng)果筆記本電腦或Linux主機(jī)，“門(mén)”在檢查完Web通信中的用戶(hù)代理字符串后，不將其轉(zhuǎn)交給漏洞利用工具。

圖1 漏洞利用活動(dòng)過(guò)程

惡意軟件廣告

惡意軟件廣告是利用網(wǎng)絡(luò)廣告來(lái)傳播惡意軟件。漏洞利用工具的活動(dòng)可以利用惡意的網(wǎng)絡(luò)廣告到達(dá)成千上萬(wàn)的潛在受害者。

很多網(wǎng)站都被惡意軟件廣告活動(dòng)利用了。這些網(wǎng)站并未受到破壞，但其廣告通信卻是惡意的。惡意軟件廣告可以使違法人員逃脫并達(dá)到更大規(guī)模的潛在受害者。

防御漏洞利用工具

隨著操作系統(tǒng)和Web瀏覽應(yīng)用的不斷演變，漏洞利用工具可能會(huì)轉(zhuǎn)向其他類(lèi)型漏洞利用。但是雖然有技術(shù)上的變化，使用基于Web的漏洞利用工具進(jìn)行自動(dòng)的漏洞利用可能成為威脅態(tài)勢(shì)的一種不變特性。

針對(duì)漏洞利用工具的優(yōu)秀防御就如同針對(duì)其他相關(guān)惡意軟件攻擊的高效防御一樣。如果說(shuō)漏洞利用工具就像是槍?zhuān)敲磹阂廛浖褪亲訌?。針?duì)漏洞利用工具的防御應(yīng)當(dāng)將關(guān)注點(diǎn)放在槍上（交付機(jī)制），而不是子彈上。

企業(yè)對(duì)漏洞利用工具活動(dòng)的響應(yīng)依賴(lài)于相應(yīng)的惡意軟件。勒索軟件就是一種常見(jiàn)的伎倆。當(dāng)然勒索軟件不是唯一的惡意負(fù)載。信息竊取器、網(wǎng)銀木馬以及其他類(lèi)型的惡意軟件都使用這種攻擊手段。因?yàn)槁┒蠢霉ぞ呤且环N可能的受害者無(wú)法知曉的秘密方法，所以有效防御非常重要。我們建議企業(yè)利用如下方法實(shí)施防御。

減少攻擊面

1.打補(bǔ)丁、更新、升級(jí)

由于漏洞利用工具針對(duì)的是基于瀏覽器的漏洞，因而最佳的防御應(yīng)從保證所有應(yīng)用程序的完全最新開(kāi)始。各種瀏覽器及Adobe Flash Player等都在發(fā)現(xiàn)補(bǔ)丁后及時(shí)發(fā)布補(bǔ)丁。漏洞利用工具的制作者都擅長(zhǎng)利用最新的漏洞，這對(duì)于忘記打補(bǔ)丁的用戶(hù)非常有效。如果可能，用戶(hù)的系統(tǒng)應(yīng)升級(jí)到最新。例如，最新的Windows版本有更多的安全控制，可以更有效防止通過(guò)漏洞利用工具活動(dòng)引發(fā)的感染。

2.限制易受攻擊的應(yīng)用程序的使用

如果可能存在漏洞的應(yīng)用程序所帶來(lái)的風(fēng)險(xiǎn)超過(guò)了其業(yè)務(wù)利益，企業(yè)應(yīng)限制訪(fǎng)問(wèn)，從而減少漏洞利用工具的潛在影響。例如，對(duì)于經(jīng)常被利用漏洞的Adobe Flash或Java來(lái)說(shuō)，很多現(xiàn)代的瀏覽器都與其脫離了關(guān)系。管理員應(yīng)考慮控制特定的用戶(hù)組對(duì)易發(fā)生漏洞的應(yīng)用程序的訪(fǎng)問(wèn)。

3.對(duì)網(wǎng)絡(luò)驅(qū)動(dòng)器的訪(fǎng)問(wèn)控制

在很多企業(yè)中，網(wǎng)絡(luò)驅(qū)動(dòng)器連接到了多個(gè)系統(tǒng)。如果一個(gè)受到感染的系統(tǒng)連接到了一個(gè)共享的驅(qū)動(dòng)器，那么存儲(chǔ)在此網(wǎng)絡(luò)驅(qū)動(dòng)器上的所有文件都面臨著風(fēng)險(xiǎn)，在漏洞利用工具所帶來(lái)的危險(xiǎn)是勒索軟件時(shí)，問(wèn)題更嚴(yán)重。由此可以將簡(jiǎn)單的感染變成一個(gè)影響整個(gè)企業(yè)用戶(hù)的事件。企業(yè)必須實(shí)施措施確保對(duì)網(wǎng)絡(luò)共享的訪(fǎng)問(wèn)受到控制。網(wǎng)絡(luò)訪(fǎng)問(wèn)應(yīng)當(dāng)總是僅限于最少數(shù)量的用戶(hù)或系統(tǒng)。

預(yù)防

1.瀏覽限制

漏洞利用工具可能發(fā)端于很多不同類(lèi)型的網(wǎng)站，而罪惡的對(duì)手可以建立定制的網(wǎng)頁(yè)，破壞現(xiàn)有的網(wǎng)站，或者通過(guò)網(wǎng)絡(luò)發(fā)布惡意廣告活動(dòng)。很多企業(yè)都將實(shí)施瀏覽限制作為一項(xiàng)策略，但是限制瀏覽對(duì)于限制漏洞的暴露也是一種好方法。安全團(tuán)隊(duì)?wèi)?yīng)當(dāng)考慮能夠阻止對(duì)已知的惡意域名、釣魚(yú)網(wǎng)站、未知域名的所有通信。

2.基于網(wǎng)絡(luò)的防御

很多漏洞利用工具使用一些較老的漏洞利用伎倆和惡意軟件的組合，安全團(tuán)隊(duì)就可以通過(guò)阻止已知威脅來(lái)防止感染。應(yīng)當(dāng)在網(wǎng)絡(luò)中的所有位置實(shí)施入侵防御和反惡意軟件功能，并有能力在無(wú)需人為干預(yù)的情況下阻止進(jìn)入網(wǎng)絡(luò)的威脅。

3.基于終端的防御

端點(diǎn)保護(hù)方法能夠重點(diǎn)防御基于漏洞利用的攻擊所使用的核心漏洞利用技術(shù)，這比那些僅重視個(gè)別攻擊或底層軟件漏洞的技術(shù)更有效。要實(shí)現(xiàn)額外的保護(hù)，企業(yè)不妨選擇基于端點(diǎn)的解決方案，用以檢測(cè)和阻止由漏洞利用工具交付執(zhí)行的惡意文件。

4.未知威脅預(yù)防

安全團(tuán)隊(duì)?wèi)?yīng)當(dāng)確保自己有能力自動(dòng)檢測(cè)和防御未知的威脅，因?yàn)楣粽叩穆┒蠢霉ぞ呒捌浣桓兜膼阂廛浖苍诓粩嘧兓?。安全團(tuán)隊(duì)?wèi)?yīng)廣泛地從其他途徑搜尋情報(bào)，并盡可能適時(shí)地實(shí)施應(yīng)對(duì)措施。

5.數(shù)據(jù)備份

由于勒索軟件是一種常見(jiàn)的漏洞利用工具，企業(yè)應(yīng)有一套備份和恢復(fù)數(shù)據(jù)的可靠進(jìn)程。即使并非勒索軟件，其他類(lèi)型的惡意軟件也會(huì)給企業(yè)的機(jī)密數(shù)據(jù)帶來(lái)風(fēng)險(xiǎn)。有效的備份和恢復(fù)計(jì)劃可減少漏洞利用工具的感染對(duì)企業(yè)的影響。擁有原始數(shù)據(jù)的主機(jī)不能訪(fǎng)問(wèn)備份。如數(shù)據(jù)備份不應(yīng)存放在USB硬盤(pán)，或可由網(wǎng)絡(luò)主機(jī)訪(fǎng)問(wèn)的共享驅(qū)動(dòng)器上。

測(cè)試是否能夠恢復(fù)備份文件就如同備份一樣重要。如果沒(méi)有經(jīng)常的測(cè)試恢復(fù)過(guò)程，在遭受破壞后，就無(wú)法確認(rèn)那些可能導(dǎo)致數(shù)據(jù)恢復(fù)失敗的問(wèn)題。