Websense在最新進行的一項案例分析中，發現了一款叫做“垂釣者”(Angler)的漏洞利用工具包。它可以檢測殺毒軟件和虛擬機，并可以部署經過加密的點滴木馬文件(dropper)。

經過反復驗證，這款工具可以最快的速度集成最新發布的零日惡意軟件，工具所包含的惡意軟件只在內存中運行，無需寫入受害者硬盤。基于這些原因，以及其明顯獨特隱匿技術，垂釣者或將成為網絡犯罪分子漏洞利用工具最先進的選擇。

最近幾周以來，新聞中時常出現有關垂釣者的報道，因其快速吸收了Adobe Flash系列零日漏洞，讓一些人相信負責垂釣者的團伙可能也已經發現了可供利用的零日漏洞。

Websense的亞伯·托羅稱，這款工具的隱匿技術值得注意主要是因為它使用的是簡單的基于換位的方式來加密URL路徑的。下圖是一個簡化版的垂釣者隱匿示意圖：

除此之外，它的隱匿方案類似于Nuclear之類的競爭工具包。被感染的用戶重定向到一個寫有明文的登錄頁面，給用戶創造一種仍在安全合法網站的幻覺。與此同時，垂釣者開始在后臺解密惡意腳本。

托羅寫道，“這些腳本位于[p]類標簽當中，并經過BASE64加密，解碼BASE64字符串就會展示出實際隱匿的漏洞利用工具包代碼。這樣，登錄頁面包含幾個加密字符串，字符串中又包含指向Flash、Silverlight、IE等各種漏洞利用的URL。”

一旦這些字符串被全部解密，它就會再次進行隱匿，致使檢測工作更加困難。除了它的殺毒引擎檢測能力，垂釣者還可以發現是否有研究人員試圖通過VMware、VirtualBox、Parallels或其他虛擬機，以及安全研究人員所鐘愛的Fiddler網頁調試代理工具對其代碼的執行。這些機制都讓分析Angler的研究人員感到頭痛。

為了更好地躲避入侵檢測措施，垂釣者的攻擊負載(Payload)在通過受害者網絡時進行加密，并在最后階段通過填充數據代碼(Shellcode)進行解密。托羅說，攻擊負載即Bedep，它本身并不是惡意軟件，但卻可用于下載其他惡意軟件。

托羅解釋說，“攻擊負載由填充數據代碼和Bedep的DLL文件組成。如果攻擊負載的最初幾個字節是‘909090’(不在x86匯編中運行)，DLL文件將從內存中加載，否則它就會像正常的點滴木馬文件一樣將被寫入磁盤。填充數據代碼負責從內在中運行DLL文件。”

“垂釣者也許是世界上迄今為止最為先進復雜的漏洞工具!”