AVAR2011:软件开发包漏洞与解决方案

　　薛洋（音译）演讲：利用开发工具包传播病毒，源于俄罗斯，代码捆绑随着各种工具进行定制；利用漏洞部署和开展自动化的“驱动器”攻击。使利用漏洞工具包攻击已成为一个当前网络景观的主要威胁。像黑洞，LuckySploit前利用试剂盒，Eleonore得到了很好的传播通过他们的快速演变和突变。超过30利用套件目前通过黑市出售，而价格范围从几取决于复杂性和能力到数千美元。

　　薛洋表示，本次将重点谈到基于Web漏洞包的更多细节。如何启动利用包，它们是如何工作的，所用的漏洞和攻击类型，我们将显示十大利用包从我们的研究分析统计，并采取一些作为典型的例子利用包显示的主要功能之间的区别它们。其次是漏洞比较与当前的热点攻击APT（高级持续威胁），从几个方面来分析它们之间的分歧和其影响。然后我们将总结攻击向量，犯罪分子如何用来传播自己的包。示范将揭示整个攻击过程。此外，我们的保护机制深潜，利用试剂盒部署到逃避检测，标志着自己的角色。最后，我们分析防御手段与利用包攻击的解决方案。

　　Exploit Kit（漏洞包）是一个自动利用客户端的开发工具包的漏洞，针对浏览器和程序，特别是那些可以通过浏览器调用的网站。总之，Exploit Kit是一个商业黑客工具箱，积极利用软件漏洞的计算机犯罪。

　　漏洞是软件内部出现的错误，可以让攻击者直接用来获得一个访问系统资源或网络。最严重的漏洞是零日漏洞，这是一个公认的，但没有打补丁的漏洞，攻击者可能会滥用0-day作恶。

　　如下图所示，漏洞工具箱中包含的漏洞表：

　　从上表我们得到了一个结论，开发PDF和Java肯定是最流行的目标：火狐、Opera、Adobe Flash播放器是最流行的漏洞载体。

　　开发工具箱漏洞是如何启动的：

　　1.入侵web站点

　　2.黑色SEO

　　3.邮件/垃圾邮件

　　4.社会网络

　　5.恶意制作的Web站点

　　6.广告上的网址

　　下图显示了一个利用工具包攻击过程：

　　新工具包漏洞包括：

　　更多零日漏洞

　　TDS（交互指导脚本）

　　EKaaS - >服务攻击工具包 - > Incognit

　　从随机网站到虚拟主机网站

　　假冒杀毒，垃圾邮件和利用相结合的包

　　如何防范工具包漏洞？

　　解决方案

　　对于企业用户，我们有多种方式来保护用户利用包攻击

　　网址：

　　1.实时扫描（包括内容和网址）

　　2.出站和入站流量扫描

　　3.信誉得分 - ASN的声望

　　4.Web 2.0的控制（社会网络控制）

　　5.IP上的块和查询，以寻找其他的套件主机

　　文件：

　　1.检查和先进的分类利用的文件类型（PDF格式，SWF）

　　2.应用识别技术