EK(Exploit kits)是指一套利用恶意软件感染用户电脑发起攻击的黑客工具,时下最著名的有 Angler EK、Fiesta EK、Hanjuan EK、Nuclear EK、Neutrino EK。

EKs 主要通过漏洞传递内容,因此在当今恶意软件的传播过程中起着基础性作用。其目的在于通过“出名”、甚至不太“出名”的漏洞攻击目标客户端,这些攻击目标通常包括浏览器、JVM、 Adobe 产品,以及常用的应用(包括但不限于)如:媒体播放器、可视化工具、 Microsoft Office 文件等。信息技术或安全专家以外的攻击者都可以轻易掌握其使用方法,这是渗透代码工具包的一个主要特征。攻击者无需知道如何创建漏洞就能从受感染系统中获利。此外,工具包通常会提供易于使用的网页界面,以帮助攻击者追踪感染活动。一些渗透代码工具包还提供远程控制受攻击系统的能力,让攻击者能够为接下来的恶意活动创建互联网犯罪软件平台。

下表(摘自contagiodump)展示了针对相关开发漏洞的多数知名EK的跟踪情况。

你会发现,几乎大多数(但不是全部)漏洞都有对应的渗透代码工具包。因此,根据不同的管理控制台(几乎所有EK都会给攻击者提供管理控制台),最重要的是,根据不同的目标系统,攻击者可在数个EK间进行选择。尽管如今可用的EK有很多,但最常使用的只有其中的一部分。如MalwareBytes的文章所示,以下为最常使用的渗透代码工具包。

现在,你也许知道渗透代码工具包的感染过程了, TrendMicro用简单的视图很好地解释了4个阶段的感染链。

接触是感染的开始阶段,在这一阶段,攻击者试图让他人访问渗透代码工具包的服务器链接。接触通常通过垃圾邮件完成,通过社交工程诱饵,邮件会诱使收信者点击链接。

流量重定向系统指EK操作者根据一定的条件设置筛选受害者的能力。主要通过 SutraTDS 或 KeitaroTDS 等流量指挥系统,在访问EK服务器之前聚合并过滤重定向流量。

一旦用户在接触阶段因受到诱惑而点击了EK服务器链接,并在重定向阶段顺利通过过滤,就会直接进入EK的落地页面。落地页面主要负责分析用户的环境,并决定在随后的攻击中利用何种漏洞。

根据 TrendMicro 的研究( SweetOrange 除外),笔者注意到下列EK在笔者当前的网络攻击检测中排名几乎相同。

与恶意代码相同,渗透代码工具包处于不断的开发改进过程中。我们每天都能发现不同的变体、改进后的躲避技术和开发集成。

这些工具包简化了恶意软件的传播,一定程度上致使了多样化的攻击手段接连不断,传统安全解决方案越来越难以应对网络安全攻击。如果你想自己的应用在安全方面无懈可击,不要羞于寻求帮助,真的出现漏洞,就为时过晚了。OneRASP 应用安全防护利器, 可以为软件产品提供精准的实时保护,使其免受漏洞所累。

本文转自 OneAPM 官方博客

你所不知道的黑客工具之 EK 篇的更多相关文章

  1. 你所不知道的库存超限做法 服务器一般达到多少qps比较好[转] JAVA格物致知基础篇:你所不知道的返回码 深入了解EntityFramework Core 2.1延迟加载(Lazy Loading) EntityFramework 6.x和EntityFramework Core关系映射中导航属性必须是public? 藏在正则表达式里的陷阱 两道面试题,带你解析Java类加载机制

    你所不知道的库存超限做法 在互联网企业中,限购的做法,多种多样,有的别出心裁,有的因循守旧,但是种种做法皆想达到的目的,无外乎几种,商品卖的完,系统抗的住,库存不超限.虽然短短数语,却有着说不完,道不 ...

  2. 你所不知道的html5与html中的那些事第三篇

    文章简介: 关于html5相信大家早已经耳熟能详,但是他真正的意义在具体的开发中会有什么作用呢?相对于html,他又有怎样的新的定义与新理念在里面呢?为什么一些专家认为html5完全完成后,所有的工作 ...

  3. JavaScript中你所不知道的Object(二)--Function篇

    上一篇(JavaScript中你所不知道的Object(一))说到,Object对象有大量的内部属性,而其中多数和外部属性的操作有关.最后留了个悬念,就是Boolean.Date.Number.Str ...

  4. 你所不知道的SQL Server数据库启动过程(用户数据库加载过程的疑难杂症)

    前言 本篇主要是上一篇文章的补充篇,上一篇我们介绍了SQL Server服务启动过程所遇到的一些问题和解决方法,可点击查看,我们此篇主要介绍的是SQL Server启动过程中关于用户数据库加载的流程, ...

  5. 你所不知道的五件事情--java.util.concurrent(第二部分)

    这是Ted Neward在IBM developerWorks中5 things系列文章中的一篇,仍然讲述了关于Java并发集合API的一些应用窍门,值得大家学习.(2010.06.17最后更新) 摘 ...

  6. 你所不知道的Html5那些事(一)

    文章简介:       关于html5相信大家早已经耳熟能详,但是他真正的意义在具体的开发中会有什么作用呢?相对于html,他又有怎样的新的定义与新理念在里面呢?为什么一些专家认为html5完全完成后 ...

  7. [转帖]你所不知道的C和C++运行库

    [C-C++]你所不知道的C和C++运行库 https://blog.csdn.net/humanking7/article/details/85887884 原作者也是转的blog 最近一个物理机上 ...

  8. Android Context完全解析,你所不知道的Context的各种细节

    Context相信所有的Android开发人员基本上每天都在接触,因为它太常见了.但是这并不代表Context没有什么东西好讲的,实际上Context有太多小的细节并不被大家所关注,那么今天我们就来学 ...

  9. 你所不知道的setInterval

    在你所不知道的setTimeout记载了下setTimeout相关,此篇则整理了下setInterval:作为拥有广泛应用场景(定时器,轮播图,动画效果,自动滚动等等),而又充满各种不确定性的这set ...

随机推荐

  1. 《JavaScript高级程序设计》心得笔记-----第三篇章

    第十章 1.    DOM1级定义了一个Node接口,以Node类型实现(除IE以外),为了确保跨浏览器兼容,最好用nodeType属性与数字数值进行比较(someNode. nodeType==1) ...

  2. BigInteger大数家法源代码及分析

    我们可以把一个很大很长的数分成多个短小的数,然后保存在一个数组中,大数之间的四则运算及其它运算都是通过数组完成.JDK就是这么实现的.JDK的BigInteger类里用一个int数组来保存数据: /* ...

  3. 了解GDAL的图像处理/Python

    GDAL是一个操作各种栅格地理数据格式的库.包括读取.写入.转换.处理各种栅格数据格式(有些特定的格式对一些操作如写入等不支持).它使用了一个单一的抽象数据模型就支持了大多数的栅格数据(GIS对栅格, ...

  4. Linux 软中断

    本文转载自: http://blog.chinaunix.net/uid-9620812-id-3833377.html,如有需要,请移步访问. Technorati 标签: Linux 软中断 -- ...

  5. Linux中profile与bashrc的作用

    文章同步发表在博主网站朗度云,传输门:http://www.wolfbe.com/detail/201608/278.html 在Linux系统上,我们会看到类似于profile和bashrc的文件, ...

  6. arm汇编指令总结(不断更新)

    /** ****************************************************************************** * @author    Maox ...

  7. shell脚本初识

    #!/bin/bash(linux脚本环境的声明即解释器,该解释器为bash,位于根目录下的bin目录下) 变量的定义与赋值: 格式:变量名=变量值(无需声明变量类型) 变量的引用: 格式:$变量名 ...

  8. h5 web模板

    <!DOCTYPE html> <!-- 使用 HTML5 doctype,不区分大小写 --><html lang="zh-cmn-Hans"> ...

  9. jcscriput

    关于h5,相比前端的同事们都很了解了吧!h5里面有个canvas,现在用的蛮火.但是canvas里面的代码确实是有点繁多,特别是要对于图形做什么操作的时候...我昨天无意间发现了一个canvas的插件 ...

  10. 腾讯微博OAuth2.0 .NET4.0 SDK 发布以及网站腾讯微博登陆示例代码(原创)

    1.使用简单方便,包含详细注释: 2.暂时只支持xml格式字符串的转换,建议接口使用xml参数:3.QweiboSDK.Controllers命名空间下已包含所有API接口:4.只需调用到Qweibo ...