Sundown是目前市场上最新款的漏洞利用工具，由于Angler和Nuclear这两款漏洞已经被成功防止，所以像Sundown这样的漏洞利用工具就开始逐步积累用户，并已经在漏洞利用市场上占据了一席之地。

据了解，Sundown已经活跃了一年多的时间了，在这段时间里，很多其他的漏洞利用工具慢慢淡出了人们的视野。而Sundown之所以会成为黑客们新的选择，很有可能是因为其开发者抄袭了SpiderLabs所公布的代码，并模仿了其他漏洞利用工具的持久化机制。

思科Talos安全威胁智能小组分析了Sundown攻击包的演变，在过去六个月黑客们已经大肆利用这个工具感染了很多用户，而且在这六个月期间漏洞利用工具的市场也发生了很大的变化，Sundown的排名也越来越靠前，目前Sundown以排名第二，仅次于RIG，Sundown的开发者抄袭了与与500多个域相关的80000个恶意子域的代码。

在对Sundown的样本进行分析研究的过程中，他们发现Sundown的开发者直接将AnglerEK中的一个针对IE浏览器漏洞(CVE-2015-2419)的利用代码拷贝了过来。不仅如此，他还从另一个竞争对手RIG(漏洞利用工具)那里窃取来了一个针对Silverlight漏洞(CVE-2016-0034)的利用代码。

被Sundown利用的漏洞

当然了，Sundown抄袭来的内容还远不止这些。你肯定想不到，Sundown的第三个漏洞(CVE-2015-5119)竟是从意大利间谍组织HackingTeam那里抄袭来的。而第四个漏洞是一个存在于AdobeFlash产品中的漏洞(CVE-2016-4117),针对该漏洞的利用代码则是从Magnitude漏洞利用工具中抄袭来的。除了上述这些漏洞之外，Sundown还可以利用CVE-2013-7331,CVE-2014-6332, CVE-2014-0569, CVE-2014-0556,CVE-2015-0311, 以及CVE-2015-0313等漏洞。

专家们发现，利用Sundown 的黑客会使用通配符作为子域，使恶意流量的节点数量呈指数增长。

使用通配符的缺点是对核心域的影响。如果域是活动的，如果有人尝试解析该特定域，它将重定向到黑客使用的恶意服务器。

研究人员对一个连续24小时运作的Sundown分析后发现，这个工具平均每分钟会产生三个子域。

虽然RIG EK用于删除各种恶意软件，包括恶意有效载荷，银行木马和数据窃取的恶意软件，但Sundown只用于银行木马而且其活动也只利用Adobe Flash和Silverligh两个t漏洞攻击受害者的系统。另外对那些被Sundown感染的文件，也都有标准的文件扩展名称，比如所有对flash文件的请求以“.swf”结束，所有silverlight请求以“.xap”结束，这在漏洞利用工具是很少见的。