Black Hole和Phoenix等攻擊工具包的強大自動化功能讓不太機靈的攻擊者也能成功發動攻擊，而近年來，新增的功能讓這些攻擊平臺變得更加有效且更危險。

惠普公司的TippingPoint數字疫苗實驗室安全研究人員Jason Jones表示，通常在軟件制造商發布漏洞修復補丁后的短短幾個小時內，惡意軟件架構師都會為犯罪軟件工具包增加新的漏洞利用功能。Jones將在 2012年黑帽簡報中談到Web漏洞利用工具包及其復雜度。他表示，攻擊工具包背后的犯罪分子不僅將工具包授權給攻擊者，而且還定期為他們提供更新，甚至還有支持服務。

“這些人的動作非常迅速，”Jones在接受SearchSecurity.com采訪時表示，“我們必須保持警惕，開拓新思路來保護用戶。”他預計這些工具包作者將會進一步提高其代碼混淆技術，以讓安全團隊很難檢測出工具包是否存在于網站中。他預計攻擊者將提高 JavaScript代碼混淆，讓惡意代碼躲避檢測針對可疑網站活動的自動化技術。

安全公司發現針對Java、Adobe Flash和Microsoft漏洞的攻擊正在穩步增加，而這些攻擊大部分來自于Black Hole漏洞利用工具包。與Phoenix及其他攻擊工具包一樣，在黑客論壇上，Black Hole工具包每年許可費用高達1500美元。而去年Black Hole提供免費下載，從而導致基于web的攻擊激增。“用戶需要修復他們的Java、Adobe軟件及其操作系統漏洞，這些工具包不用零日攻擊，如果你及時修復了漏洞，他們將不能攻擊你。”

攻擊工具包有很多共同點。首先，攻擊者都可以通過一個控制面板對工具包進行配置來執行各種攻擊。 Jones表示，大多數工具包都可以配置為忽略特定的IP范圍，以避免攻擊安全公司或者攻擊者不想攻擊的其他實體。此外，這些工具包都有一個顯示報告功能的儀表板，讓攻擊者知道有多少人查看了他們的攻擊網頁以及多少攻擊成功了。

攻擊者通常使用犯罪軟件工具包來建立路過式攻擊，這種工具包可用于攻擊存在漏洞的網站，然后使用這些網站作為攻擊平臺。初始的SQL注入或者跨站腳本(XSS)攻擊能夠幫助攻擊者在網站獲得立足點。然后，攻擊者使用惡意JavaScript，在網頁的HTML內加載iFrame，iFrame隨后對瀏覽網頁的用戶發動攻擊，以確定其操作系統、瀏覽器和瀏覽器組件是否未修復漏洞。如果發現一個漏洞，該攻擊工具包就會自動利用這個漏洞，下載惡意軟件到受害者的電腦中。

攻擊工具包可能包含少到4個漏洞利用或者多到12個以上的漏洞。Jones表示，工具包存在的時間越長，它累計的漏洞利用就更多。Jones說：“攻擊工具包主要來自東歐，不過一些較新的攻擊工具包來自于亞洲。雖然這些工具包并不是很復雜，但它們提供的漏洞利用都是針對最新發布的已知漏洞?，F在，攻擊工具包競爭激烈，推動著工具包作者不斷為其用戶更新功能。中國漏洞工具包占有市場份額，是因為其工具包中有最新的漏洞，他們看到了別人取得的成功，可能認為他們也能獲得同樣的成功，或者做得更好。”