我读到,攻击者不想浪费零日漏洞,因为一开始它们通常很昂贵,但是我不清楚“垃圾”是什么意思这里。社区(例如安全研究人员)可以发现零时差,这将使其无用。从这个意义上讲,零时差已经被攻击者的无所作为所浪费了。是否过早使用零日漏洞有风险吗?似乎攻击者希望最大程度地减少发现零日的机会,并因此而尽快使用它。
问题:哪些因素会使攻击者等待使用零时差漏洞?
#1 楼
使用0天比坐在它上更容易燃烧。
坐在0天之间很长的平衡,只要它被别人发现并修补,然后使用它过早且不必要地将其刻录。平衡往往倾向于等待更长的时间,因为良好的0天将变得晦涩难懂,因此不会很快被发现。最大的风险实际上不是那种情况下的发现,而是在由于完全不相关的原因而重新编写或删除易受攻击的代码并且过时的利用不再有效的情况下,过时了。
在大多数情况下,但是,攻击者根本不需要使用它。如果我有一个有价值的Linux本地特权升级漏洞利用程序,当一点点额外侦察告诉我可以对不正确修补的特权守护程序使用旧漏洞利用程序时,为什么还要使用它?最好将其保存在雨天基金中。
还有其他一些原因可能会导致长时间保留0天:
有些人只是0积0天来为了它。这太普遍了。
也许您从某人那里借了0day,在这种情况下,烧掉它会使他们生气。
有时0day经纪人正坐在他们身上等待正确的客户。
0day本身可能是无用的,需要与其他漏洞联系起来才能发挥作用。
BH US提出了一些有趣的研究,分析了0days的寿命。
评论
“ 0day本身可能是无用的,需要与其他漏洞相关联才能起作用。”这是一个很大的。在当今复杂而分层的系统中,最大程度地破坏目标通常需要采取多种措施。 (可能是0天,可能是已知的,可能是人类的利用,等等)
– Paul Draper
18/12/3在17:48
“借用”漏洞是什么意思?
–奇怪的思考
18/12/4在21:52
@Oddthinking有人可能会对您足够信任,可以给您一个0天的安全使用时间(也许只有一次),并且您可以不使用它。
–森林
18/12/5在1:56
@Oddthinking-就像stackexchange一样,人们在解决“乐趣”的问题上没有任何实质性收益,修补软件漏洞的人们有时会感到需要分享他们的知识以“乐趣”。如果你不能炫耀自己的知识,那没什么好玩的。
– slebetman
18/12/5在2:58
#2 楼
0天取决于发现的另一个漏洞可以有效使用。例如,如果您首先没有执行代码,则不能使用特权升级。如果您希望在当前的日期之后再链接0天,这也可以用另一种方式进行。我还要指出,攻击者可能不会立即利用所有内容,因为如果发现0天,您将来将无法使用它。当您找到0天时,您想要入侵的内容可能甚至不存在。
利用0天可能是非法的。人们仍然可以通过将其卖给出价最高的人来赚钱(包括就从漏洞赏金计划中获得的钱进行谈判)
#3 楼
因为旧方法是最好的。为什么只使用甜美的SMBv1攻击或SQLi就能获得相同的结果,为什么要浪费昂贵的0天呢?
使用0天会导致从取证响应中发现可降低价值并消除将要针对的目标数量。
#4 楼
从攻击者的角度来看,零日漏洞利用是一种宝贵的资源,因为它尚未公开。当目标实际部署时,这会使攻击者感到惊讶,因为目标将无法主动防御它。每次使用零日漏洞,都有机会被目标发现,并由软件供应商修复漏洞。一旦漏洞被关闭,漏洞利用的有效性就会大大降低,并且仅限于尚未更新软件的目标。这被称为“燃烧”漏洞。
因为当今大多数攻击者的目标是直接或间接获取金钱(例如,通过从目标窃取个人信息并使用它进行身份欺诈),零日漏洞利用具有经济价值。如果该漏洞被烧毁并失效,则会失去其价值。从本质上讲,零时差是一种有价值且可消耗的武器,应将其保存起来以用于无法通过公知漏洞利用的高价值目标。
例如,这意味着针对运行已知漏洞的特定软件的旧版本的系统的攻击者,将希望使用现有的,公开可用的漏洞,而不是使用零时差漏洞并有可能对其进行刻录。当您可以用更便宜的解决方案完成工作时,为什么要浪费宝贵的资源?
#5 楼
也许攻击者使用0天的时间正在等待一个好的机会。大多数目标都有其高低。如果一个人的目标是破坏并破坏尽可能多的东西,那么发现后立即使用0day可能不是最好的主意。
一些目标处于冻结期,在那里他们缺乏人力并且不得接触关键环境。其他一些则具有发布新产品或处理特别敏感的数据集的关键时期。
利用在此类事件之前发现的漏洞,意味着有风险在其发生之前被发现。因此,攻击者失去了重击的机会。
他应该等到对目标了解得足够多时,才能准确地打击目标,更重要的是何时受到伤害,这将是头奖。
在2017年,有一个加密勒索软件活动针对午餐时间的公司。
效果很好,人们锁定了计算机,去了吃饭的地方,当每个人在下午2点回到办公室时,一切都已经加密了。现在还没有人敲响警钟。
现在,在财政年度末的一次重要董事会会议之前或在对目标进行媒体关注期间,立即进行此攻击。这可能会严重破坏该目标的形象,并造成数百万甚至数十亿美元的损失。在其他地方进行攻击时,可能根本不会注意到。
#6 楼
当您感染计算机并使用0天攻击程序时,通常会留下您如何进入的证据。防止自己留下任何证据与拥有没有漏洞的软件一样困难。几乎不可能。许多计算机系统没有定期打补丁;在这样的系统上,古老的漏洞利用通常会使您感觉很好。被发现的漏洞利用并没有太大作用。我的意思是,如果您使用特定漏洞利用互联网上超过20%的计算机,您可能会注意到补丁率有所提高。但是您可能没有。
另一方面,可以将0天攻击利用分为有安全意识的目标。如果您关心特定的目标并且它们在安全方面起作用,那么0天漏洞利用仍可能使您陷入困境。一旦注意到,他们可能会解决您的漏洞。一旦确定了您的利用,便可以与供应商共享该利用,然后由供应商进行修补。否则他们可能会自己破解补丁。
现在,您的0天攻击已发布了补丁,并且地球上每个安全意识强的系统都会阻止其使用。因此,明天,当您真的想闯入某个地方的安全服务器时,您将需要不同的新漏洞。您已经烧掉了漏洞利用程序。
并非每次都会注意到您的漏洞利用程序,也不是每次通知都会产生补丁,但是每次使用都会增加补丁程序被破坏的机会您的漏洞利用。
我们可以通过一些国家支持的计算机黑客示例来说明这一点。 Stuxnet使用了四个零时差(没有安全防范措施)。它的发现导致所有4个补丁被修补,“燃烧”了它们在将来的用处。作为交换,伊朗一堆昂贵的离心机破裂了,从而拖延了伊朗的核研究。
它完成了多枚巡航导弹的工作,外交,人道主义和军事风险大大降低。
#7 楼
另一个原因是他们目前无法(最佳)使用它。例如:他们可能有一个特定的目标,例如外交官,但是利用程序必须位于同一以太网/ WiFi网络或物理访问中。因此,他们必须等到满足此条件或进行安排才能满足条件。
他们还没有足够的关于目标的信息。例如,他们需要找出在哪台服务器上托管有趣信息的方法。如果他们在发现文件之前不久就使用了漏洞利用程序,则更有可能被检测到并烧毁了漏洞利用程序。
他们目前没有资源/人力来发动攻击,因为他们目前正忙于当前发起攻击的另一个目标或本部门的员工都病了(甚至坏家伙也得了病)。
他们缺乏有效使用所需的其他工具。当受害者打开邮件时,可能会使用电子邮件攻击来运行其代码,但是所有病毒扫描程序当前都可以检测到其所有RAT-tools / botnet-clients / ransom-ware,因此将其刻录将毫无用处。 >
评论
除了被他人随机发现之外,还有两件事可能会破坏零时差。首先,您会使用它,它会被检测到。其次,您出售它也增加了披露或发现的可能性。您使用或共享的次数越多,风险越大。 (也就是说,要小心发现用过的零日可能要花很长时间)因为某些国家为此付出了很多钱...邪恶的外国,显然不是美国,因为我们不是外国...
如果您下次购买可享受10%的折扣,是明天想在10英镑的杂货店购物还是在下个月购买10000英镑的新车呢?
如果我给您非法枪支,您会立即开始射击吗?提醒警察并清空剪辑?不,您将等待值得一试的东西。
@forest假设您的评论是饼干,您想在上面放些黄油...