防御漏洞利用工具

漏洞利用工具如何運行

多數漏洞利用工具的作者都使用軟件即服務（SaaS） 作 為其業務模式。這種模式有時被稱為平臺即服務（PaaS），惡意軟件即服務（MaaS）、漏洞利用工具即服務（EKaaS）。

利用漏洞利用工具即服務（EKaaS）這種模式，漏洞利用工具的制作者會將其出租給制造威脅的不法之徒。漏洞利用工具可以通過廣告或口頭相傳的方式來傳播，而領先的漏洞利用工具的價格往往達到每月幾千美元。例如，2016年最流行的漏洞利用工具之一Neutrino，其定價達到每月7000美元。

漏洞利用工具的所有者向購買者提供管理控制臺來監視出租漏洞利用工具的服務器，但購買者必須提供一種攻擊的基礎架構來執行活動。大規模的漏洞利用活動所需要的基礎架構還可以外包給企圖發布惡意軟件的犯罪份子。

在登錄到漏洞利用工具的管理控制臺后，主頁面會顯示基本的統計和檢測狀態。管理控制臺的另一個頁面還可用于上傳惡意軟件。其他頁面提供高級的統計信息，顯示出一些重要信息，例如，有哪些反病毒廠商可以檢測到惡意軟件。

漏洞利用工具的事件

在漏洞利用工具中，為成功實施感染，必須經過如下幾步：首先是“著陸頁”，偵察受害者的主機；其次是漏洞利用，主要是利用目標主機上的基于瀏覽器的應用程序的漏洞，最后是上傳網絡罪犯準備發布的文件下載器或惡意軟件。

著陸頁面：著陸頁面是漏洞利用工具發送的第一個項目。在多數情況下，著陸頁面都包含偵察受害者電腦的代碼，其目的是找到任何有漏洞的基于瀏覽器的應用程序。如果用戶的計算機全面地打上了補丁并且保持了更新，漏洞利用工具在“著陸頁面”就停止了。否則，漏洞利用工具會發送適當的漏洞利用程序。

漏洞利用程序：它利用有漏洞的應用程序，在用戶的電腦上秘密運行惡意軟件。目標應用程序有很多，例如，JRE（Java運行時環境）、Flash Player或 Web瀏覽器等。漏洞利用程序可以使攻擊者在受害者主機上執行任意的代碼。

文件下載器或惡意軟件：在漏洞利用程序成功后，漏洞利用工具會發送一個可以檢索其他惡意軟件的文件下載器，或者是有其他目的的惡意軟件。由于有了更高級的漏洞利用工具，文件下載器或惡意軟件以加密二進制的形式通過網絡發送。在受害者的電腦上，再解密并執行此加密的二進制代碼。

漏洞利用活動過程

如前所述，漏洞利用工具無法獨自感染計算機，須用某種方式指引用戶的計算機訪問。漏洞利用工具必須是漏洞利用活動的一部分。

大多數漏洞利用活動都利用一個受破壞的網站來將網絡通信指引到一個漏洞利用工具。受到破壞的網站被攻擊者將代碼注入到網頁中，從而指引用戶訪問漏洞利用工具。如此就從受攻擊破壞的網站向漏洞利用工具提供了簡單的事件鏈條。

還有其他的惡意活動可以利用受破壞的網站和漏洞利用工具服務器中的一臺或多臺其他服務器。這些額外的服務器稱為“門”。多數情況下，“門”僅允許Windows主機連接到漏洞利用工具服務器。如果用戶使用的是蘋果筆記本電腦或Linux主機，“門”在檢查完Web通信中的用戶代理字符串后，不將其轉交給漏洞利用工具。

圖1 漏洞利用活動過程

惡意軟件廣告

惡意軟件廣告是利用網絡廣告來傳播惡意軟件。漏洞利用工具的活動可以利用惡意的網絡廣告到達成千上萬的潛在受害者。

很多網站都被惡意軟件廣告活動利用了。這些網站并未受到破壞，但其廣告通信卻是惡意的。惡意軟件廣告可以使違法人員逃脫并達到更大規模的潛在受害者。

防御漏洞利用工具

隨著操作系統和Web瀏覽應用的不斷演變，漏洞利用工具可能會轉向其他類型漏洞利用。但是雖然有技術上的變化，使用基于Web的漏洞利用工具進行自動的漏洞利用可能成為威脅態勢的一種不變特性。

針對漏洞利用工具的優秀防御就如同針對其他相關惡意軟件攻擊的高效防御一樣。如果說漏洞利用工具就像是槍，那么惡意軟件就是子彈。針對漏洞利用工具的防御應當將關注點放在槍上（交付機制），而不是子彈上。

企業對漏洞利用工具活動的響應依賴于相應的惡意軟件。勒索軟件就是一種常見的伎倆。當然勒索軟件不是唯一的惡意負載。信息竊取器、網銀木馬以及其他類型的惡意軟件都使用這種攻擊手段。因為漏洞利用工具是一種可能的受害者無法知曉的秘密方法，所以有效防御非常重要。我們建議企業利用如下方法實施防御。

減少攻擊面

1.打補丁、更新、升級

由于漏洞利用工具針對的是基于瀏覽器的漏洞，因而最佳的防御應從保證所有應用程序的完全最新開始。各種瀏覽器及Adobe Flash Player等都在發現補丁后及時發布補丁。漏洞利用工具的制作者都擅長利用最新的漏洞，這對于忘記打補丁的用戶非常有效。如果可能，用戶的系統應升級到最新。例如，最新的Windows版本有更多的安全控制，可以更有效防止通過漏洞利用工具活動引發的感染。

2.限制易受攻擊的應用程序的使用

如果可能存在漏洞的應用程序所帶來的風險超過了其業務利益，企業應限制訪問，從而減少漏洞利用工具的潛在影響。例如，對于經常被利用漏洞的Adobe Flash或Java來說，很多現代的瀏覽器都與其脫離了關系。管理員應考慮控制特定的用戶組對易發生漏洞的應用程序的訪問。

3.對網絡驅動器的訪問控制

在很多企業中，網絡驅動器連接到了多個系統。如果一個受到感染的系統連接到了一個共享的驅動器，那么存儲在此網絡驅動器上的所有文件都面臨著風險，在漏洞利用工具所帶來的危險是勒索軟件時，問題更嚴重。由此可以將簡單的感染變成一個影響整個企業用戶的事件。企業必須實施措施確保對網絡共享的訪問受到控制。網絡訪問應當總是僅限于最少數量的用戶或系統。

預防

1.瀏覽限制

漏洞利用工具可能發端于很多不同類型的網站，而罪惡的對手可以建立定制的網頁，破壞現有的網站，或者通過網絡發布惡意廣告活動。很多企業都將實施瀏覽限制作為一項策略，但是限制瀏覽對于限制漏洞的暴露也是一種好方法。安全團隊應當考慮能夠阻止對已知的惡意域名、釣魚網站、未知域名的所有通信。

2.基于網絡的防御

很多漏洞利用工具使用一些較老的漏洞利用伎倆和惡意軟件的組合，安全團隊就可以通過阻止已知威脅來防止感染。應當在網絡中的所有位置實施入侵防御和反惡意軟件功能，并有能力在無需人為干預的情況下阻止進入網絡的威脅。

3.基于終端的防御

端點保護方法能夠重點防御基于漏洞利用的攻擊所使用的核心漏洞利用技術，這比那些僅重視個別攻擊或底層軟件漏洞的技術更有效。要實現額外的保護，企業不妨選擇基于端點的解決方案，用以檢測和阻止由漏洞利用工具交付執行的惡意文件。

4.未知威脅預防

安全團隊應當確保自己有能力自動檢測和防御未知的威脅，因為攻擊者的漏洞利用工具及其交付的惡意軟件也在不斷變化。安全團隊應廣泛地從其他途徑搜尋情報，并盡可能適時地實施應對措施。

5.數據備份

由于勒索軟件是一種常見的漏洞利用工具，企業應有一套備份和恢復數據的可靠進程。即使并非勒索軟件，其他類型的惡意軟件也會給企業的機密數據帶來風險。有效的備份和恢復計劃可減少漏洞利用工具的感染對企業的影響。擁有原始數據的主機不能訪問備份。如數據備份不應存放在USB硬盤，或可由網絡主機訪問的共享驅動器上。

測試是否能夠恢復備份文件就如同備份一樣重要。如果沒有經常的測試恢復過程，在遭受破壞后，就無法確認那些可能導致數據恢復失敗的問題。