赛门铁克的最新报告显示了攻击工具包的传播降低了网络攻击者发动攻击的门槛。攻击工具包已经成为互联网黑市货架上固定供应的装置,并且被广泛用于网络攻击中。根据这份报告显示,2009年7月1日至2010年6月30日期间恶意网站发现的最普遍的工具包是MPack(占48%),NeoSploit(占31%)以及Zeus(占19%)。
“这也可以让我们在攻击工具包和HTML编辑程序之间做个比较,”赛门铁克安全响应中心研发经理同时也是这份报告的执行主编Marc Fossi表示,“在开始的时候,设计一个HTML网页,你需要在基本的文本编辑器中处理HTML代码,然后是允许你拖放元素的WYSIWYG编辑器,但你还是需要了解一些HTML来调整代码。但是,现在有很多非常强大的HTML编辑软件,只需要非常少的HTML知识就可以创建复杂的多媒体网站。”
“同样的,攻击工具包不需要用户有深厚的技术知识就可以编写攻击程序,这意味着任何一个新手都可以在不需要知道如何发现漏洞或者如何利用漏洞的情况下,制造出复杂的攻击行动,”他表示,“攻击工具包降低或者免除了这种必要,将预先写好的漏洞利用代码和恶意代码以及分布这些攻击的方法都涵盖在工具包中,并且都是以用户友好的方式。”
赛门铁克表示,最早的攻击工具包可以追溯到90年代,当时的工具包还十分简陋,没有后来工具包中出现的网络接口等功能。这些早起工具包中最高级的就是VMPCK,该工具包最早出现在1998年。随后出现的是CPCK,这个工具包拥有多态引擎来躲避检测,这在当时算是很先进的功能。
后来的数据包则变得越来越复杂。在2006年,WebAttacker携带七个已知安全漏洞的利用代码“横空出世”。
“随后出现的这些攻击工具包,这些漏洞都是客户端性质的,并且是专门针对windows操作系统上IE和火狐浏览器的用户,”根据报告显示,“WebAttacker包含很多成为后来攻击工具包标准功能的功能,例如检测受害者的浏览器和操作系统,以及追踪攻击的成功率。”
WebAttacker最早在网络黑市论坛的标价是15美元,该报告推断这么低廉的价格可能是因为它属于开先河之列。2006年发布的MPack最初售价为1000美元,不过最终这个价格有所降低。
现在的工具包价格范围在几百美元到几千美元之间,虽然这些工具包经常会更新几个新的漏洞利用代码,不过最普遍的还是比较旧的漏洞利用。
“很多工具包还会统计一个攻击针对一个目标的攻击次数以及这个目标被成功攻击的频率,”Fossi解释道,“还可以在工具包中安装新的漏洞利用与现有的漏洞利用代码一起来为攻击者提供更广泛的攻击范围。事实上,很多工具包试图发动针对更旧的漏洞的攻击,而不是针对较新的漏洞,这样的话,如果使用较旧的漏洞利用代码成功攻击后,他们甚至都不需要试图去利用新漏洞,这可以帮助保持新漏洞利用代码的新鲜度以及掩人耳目。”