漏洞利用工具包(Exploit Kit)——利用軟件應用程序中的漏洞散布惡意程序的預封裝軟件，在信息安全界已不是什么新鮮事。自2006年威脅研究組織在全球范圍內認真追蹤它們的擴散和發展開始，它們的的流行度便在地下世界穩步提升。

[[177618]]

那么，既然漏洞利用工具包并不新潮，究竟是什么讓它們的成功持續了一年又一年呢?正如很多產業中的規律一樣——此處并未否認網絡犯罪是一個全球性產業，創新、功能和易用性，是決勝關鍵。看看最主要漏洞利用工具包中的兩大成功案例：Angler和Nuclear，便能快速領會到定義絕佳漏洞利用工具包的3個特質。

1. 快速利用大量漏洞

Angler漏洞利用工具包設立了一個很高的標準——利用了26個漏洞，是已知漏洞利用工具包中利用漏洞數量最多的。Nuclear漏洞利用工具包也不遑多讓，至少利用了19個。僅僅數量還不足以讓這些工具包更加有效，將漏洞集成到工具包中的速度也起著舉足輕重的作用——某些案例中漏洞才進入國家漏洞數據庫幾天，工具包里已有了利用程序。對新進發現并修復的漏洞而言，這種采納速度簡直難以置信。

2. 吸收了各種各樣的惡意負載交付方式

Angler又彰顯了一把在惡意負載上的出類拔萃——擁有10種不同負載，包括：勒索軟件、銀行木馬、憑證收割者、點擊詐騙惡意軟件(用于通過點擊付費廣告產生利潤的惡意軟件)。Nuclear能投送7種惡意負載，主要是勒索軟件和銀行木馬。

3. 便于用戶使用

漏洞利用工具包的基礎，就是提供了用戶友好的方式供不太熟練的攻擊者感染受害者。漏洞利用工具包在黑市上都有出售或租賃，很多工具包甚至還有客戶支持服務——就像其他很多行業中一樣。除此之外，它們還集成了為易用性設計的功能。最近，遠程代碼執行(RCE)功能就允許攻擊者遠程執行受害者機器上的惡意代碼，都不用在目標設備上。這是漏洞利用易用性的巔峰之作，讓用戶可以隨意投放任意負載，無視設備的物理位置。

理解良好漏洞利用工具包的組成要素，只是防護此類攻擊的第一步。此外你還需要做些什么來防止對手使用漏洞利用工具包來對付你的公司呢?

為將精力集中在漏洞利用工具包對你公司的可能影響上，你需要了解自身數字陰影區——數字足跡的子集，包含暴露的員工、高度機密、敏感或專利的技術或公司信息。網絡態勢感知能助你將“攻擊者視角”納入思考范圍，供你用于預防、檢測和限制來自漏洞利用工具包的攻擊。

雖然當前還不是很明顯，但打補丁也是防御策略中的重要一環。補丁失敗會為攻擊者打開大門;很多此類工具包利用了幾年都沒打上補丁的漏洞。

或者，你也可以考慮采用反病毒和終端防護技術領域的發展成果。很多企業在提供更先進，更少依賴特征碼的技術上正大步邁進。

雖然自2016年6月起，Angler和Nuclear漏洞利用工具包就偃旗息鼓了，我們卻還不能放松警惕。這二者的空缺很快就被其他漏洞利用工具包填補，其中最著名的是Sundown和Magnitude，都具備上述共有特征，并因市場競爭而各有創新。作為防御者，持續關注威脅態勢發展是十分關鍵的。而這，起始于知曉好漏洞利用工具包的構成元素。