文档章节

你所不知道的黑客工具之 EK 篇

OneAPM蓝海讯通
 OneAPM蓝海讯通
发布于 2016/03/28 16:57
字数 991
阅读 26
收藏 4

EK(Exploit kits)是指一套利用恶意软件感染用户电脑发起攻击的黑客工具,时下最著名的有 Angler EK、Fiesta EK、Hanjuan EK、Nuclear EK、Neutrino EK。

EKs 主要通过漏洞传递内容,因此在当今恶意软件的传播过程中起着基础性作用。其目的在于通过“出名”、甚至不太“出名”的漏洞攻击目标客户端,这些攻击目标通常包括浏览器、JVM、 Adobe 产品,以及常用的应用(包括但不限于)如:媒体播放器、可视化工具、 Microsoft Office 文件等。信息技术或安全专家以外的攻击者都可以轻易掌握其使用方法,这是渗透代码工具包的一个主要特征。攻击者无需知道如何创建漏洞就能从受感染系统中获利。此外,工具包通常会提供易于使用的网页界面,以帮助攻击者追踪感染活动。一些渗透代码工具包还提供远程控制受攻击系统的能力,让攻击者能够为接下来的恶意活动创建互联网犯罪软件平台。

下表(摘自contagiodump)展示了针对相关开发漏洞的多数知名EK的跟踪情况。

你会发现,几乎大多数(但不是全部)漏洞都有对应的渗透代码工具包。因此,根据不同的管理控制台(几乎所有EK都会给攻击者提供管理控制台),最重要的是,根据不同的目标系统,攻击者可在数个EK间进行选择。尽管如今可用的EK有很多,但最常使用的只有其中的一部分。如MalwareBytes的文章所示,以下为最常使用的渗透代码工具包。

现在,你也许知道渗透代码工具包的感染过程了, TrendMicro用简单的视图很好地解释了4个阶段的感染链。

接触是感染的开始阶段,在这一阶段,攻击者试图让他人访问渗透代码工具包的服务器链接。接触通常通过垃圾邮件完成,通过社交工程诱饵,邮件会诱使收信者点击链接。

流量重定向系统指EK操作者根据一定的条件设置筛选受害者的能力。主要通过 SutraTDS 或 KeitaroTDS 等流量指挥系统,在访问EK服务器之前聚合并过滤重定向流量。

一旦用户在接触阶段因受到诱惑而点击了EK服务器链接,并在重定向阶段顺利通过过滤,就会直接进入EK的落地页面。落地页面主要负责分析用户的环境,并决定在随后的攻击中利用何种漏洞。

根据 TrendMicro 的研究( SweetOrange 除外),笔者注意到下列EK在笔者当前的网络攻击检测中排名几乎相同。

渗透代码工具包

与恶意代码相同,渗透代码工具包处于不断的开发改进过程中。我们每天都能发现不同的变体、改进后的躲避技术和开发集成。

这些工具包简化了恶意软件的传播,一定程度上致使了多样化的攻击手段接连不断,传统安全解决方案越来越难以应对网络安全攻击。如果你想自己的应用在安全方面无懈可击,不要羞于寻求帮助,真的出现漏洞,就为时过晚了。OneRASP 应用安全防护利器, 可以为软件产品提供精准的实时保护,使其免受漏洞所累。

本文转自 OneAPM 官方博客

© 著作权归作者所有

OneAPM蓝海讯通
粉丝 94
博文 631
码字总数 1266889
作品 0
海淀
私信 提问
Flash 在 EK 被利用漏洞 Top 10 中占 8 个位置

据外媒报道,日前,威胁情报研究公司Recorded Future整理出了一份被Exploit Kits(以下简称EK)利用最多的应用名单。研 究时间从2015年1月1日至9月30日,研究对象为当下在各种类型网络攻击中...

oschina
2015/11/11
1K
7
更多你所不知道的 Linux 命令

在这篇文章中和 Carla Schroder 一起探索 Linux 中的一些鲜为人知的强大工具。 本文是一篇关于一些有趣但鲜为人知的工具 、 和 的文章。 是一个终端 ASCII 屏保, 能够测量数据吞吐量并模拟输...

作者: Carla Schroder
2017/12/15
0
0
DES加密算法应用:分组加密模式

通常,大多数的分组加密算法都是把数据按照64位分组的方式进行加密和解密。但是几乎所有的加密工作所涉及的数据量都远远大于64位,因此就需要不断地重复加密过程,直到处理完所有的分组。这种...

IDreamo
2018/08/01
0
0
想学习黑客技术吗?告诉你什么才是真正的黑客!

科技发展至今,我们的生活、工作和学习已经离不开互联网。而互联网中必须面对的一个大问题就是安全。然后,就涌现出了一批人,他们掌握着超高的计算机技术,对互联网知识了如指掌,他们有可能...

星空浪子A
2017/04/13
0
0
新Underminer EK使用加密TCP隧道交付Bootkit和挖矿软件

  趋势科技在本周发表的一篇博文中指出,其研究人员已经发现了一个新的漏洞利用工具包(Exploit Kit),并将其命名为Underminer。Underminer EK使用了其他漏洞利用工具包所具备的功能,以阻...

FreeBuf
2018/08/12
0
0

没有更多内容

加载失败,请刷新页面

加载更多

Centos7 安装zabbix-agent

rpm -i https://repo.zabbix.com/zabbix/4.2/rhel/6/x86_64/zabbix-release-4.2-2.el6.noarch.rpm 可以到https://repo.zabbix.com/zabbix找到对应的版本 yum install zabbix-agent -y 出现E......

abowu
28分钟前
8
0
文本编辑器GNU nano 4.4 发布

GNU nano 4.4 "Hagelslag" 更新日志: 启动时,光标可以放在第一个或最后一个出现位置 字符串前面带有+/string 或 +?string的字符串。 发生自动硬包装时((--breaklonglines),任何前导引号...

linuxCool
42分钟前
7
0
你知道字节序吗

字节序 最近在调一个自定义报文的接口时,本来以为挺简单的,发现踩了好几个坑,其中一个比较“刻骨铭心”的问题就是数据的字节序问题。 背景 自定义报文,调用接口,服务端报文解析失败 iO...

杭城小刘
53分钟前
3
0
设计模式之依赖倒置原则

方法

东风破2019
54分钟前
6
0
关于如何通过模拟器完成模拟步数提升傻瓜式解决方案(囧)

因为对Android开发不太了解,也没去问朋友所以误打误撞找到的一个提升步数的解决方案,当然只是针对某安APP运动RUN的解决方式吧。 对Android不太了解,所以找了很多的解决方案来看看能不能破...

华山猛男
58分钟前
5
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部