我試圖理解為什麼攻擊者想要等待使用零時差攻擊。
我讀到,攻擊者不想浪費零日漏洞,因為一開始它們通常非常昂貴,但是我不清楚此處的“浪費”是什麼意思。社區(例如安全研究人員)可能會發現零時差,這將使其無用。從這個意義上講,零時差已經被攻擊者的無所作為所浪費了。是否過早使用零日漏洞有風險嗎?似乎攻擊者希望最大程度地減少發現零日的機會,並因此而盡快使用它。
問題:哪些因素會導致攻擊者等待使用零日漏洞?
我試圖理解為什麼攻擊者想要等待使用零時差攻擊。
我讀到,攻擊者不想浪費零日漏洞,因為一開始它們通常非常昂貴,但是我不清楚此處的“浪費”是什麼意思。社區(例如安全研究人員)可能會發現零時差,這將使其無用。從這個意義上講,零時差已經被攻擊者的無所作為所浪費了。是否過早使用零日漏洞有風險嗎?似乎攻擊者希望最大程度地減少發現零日的機會,並因此而盡快使用它。
問題:哪些因素會導致攻擊者等待使用零日漏洞?
使用0天比坐在上面燃燒0天的可能性更大。
坐在0天之間的平衡很長,只要它可以被其他人發現並修補,並且過早且不必要地使用它,將其刻錄。平衡往往傾向於等待更長的時間,因為良好的0天將變得晦澀難懂,因此不會很快被發現。最大的風險實際上不是那種情況下的發現,而是在由於完全不相關的原因而重寫或刪除易受攻擊的代碼並且過時的漏洞利用不再有效的情況下,過時了。
在大多數情況下, ,攻擊者根本不需要使用它們。如果我有一個有價值的Linux本地特權升級漏洞利用程序,當一點點額外偵察告訴我可以對不正確修補的特權守護程序使用舊漏洞利用程序時,為什麼還要使用它?最好將其保存在雨天基金中。
還有其他一些原因可能會導致長時間保留0天:
有些人只是ho積0天來為了它。這太普遍了。
也許您是從某人那裡借來的0day,在這種情況下,燒掉它會使他們生氣。
有時候0day經紀人正坐在他們那裡等待合適的客戶。
0day本身可能是無用的,需要與其他漏洞相關聯才能發揮作用。
在BH US上進行了一些有趣的研究,分析了0天的壽命。
0天取決於發現的另一個有效利用的漏洞。例如,如果您首先沒有執行代碼,則不能使用特權升級。如果您希望在當前日期之後再鏈接0天,這也可以用另一種方式進行。
攻擊者沒有一個值得使用的目標上。我還要指出,攻擊者可能不會立即利用所有內容,因為如果發現0天,您將來將無法使用它。當您找到0天時,您想要破解的內容可能甚至不存在。
利用0天可能是非法的。人們仍然可以通過將其出售給出價最高的人來賺錢(包括協商從漏洞賞金計劃中獲得的錢)
因為最好的方法是舊的,為什麼當您僅使用甜美的SMBv1攻擊或SQLi就能獲得相同的結果時,為什麼要花費昂貴的0天呢?使用0天可以導致取證反應中的發現降低價值並消除有效的目標數量。
從攻擊者的角度來看,零日漏洞利用是一種寶貴的資源,因為它尚未公開。
每次使用零日漏洞時,這將使攻擊者在實際部署時感到驚訝,因為目標將無法主動防禦。
由目標發現並且由軟件供應商修復了漏洞。一旦漏洞被關閉,漏洞利用的有效性就會大大降低,並且僅限於尚未更新軟件的目標。這稱為“燃燒”漏洞利用程序。
因為當今大多數攻擊者的目標是直接或間接獲取金錢(例如,通過從目標竊取個人信息並使用它)進行身份欺詐),零日漏洞利用具有經濟價值。如果該漏洞被燒毀並失效,則會失去其價值。從本質上講,零時差是一種寶貴且可消耗的武器,應將其保存起來以用於無法通過公知漏洞利用的高價值目標。
這意味著,例如,攻擊者針對運行已知漏洞的特定軟件的舊版本的系統,他們希望使用現有的,公開可用的漏洞,而不是使用零時差漏洞並有可能對其進行刻錄。當您可以用更便宜的解決方案完成工作時,為什麼還要浪費寶貴的資源呢?
也許攻擊者用0天的時間來等待一個好的機會。
大多數目標都有其最高和最低點。如果一個人的目標是破壞並破壞盡可能多的東西,那麼發現後立即使用0day可能不是最好的主意。
一些目標處於凍結期,在那裡他們缺乏人力並且不得接觸關鍵環境。其他一些則具有發布新產品或處理特別敏感的數據集的關鍵時期。
利用在此類事件之前發現的漏洞,意味著存在在其發生之前被發現的風險。因此,攻擊者失去了重擊的機會。
他是否應該等到他對目標足夠的了解才能準確地襲擊目標,更重要的是何時傷害目標,這將是頭獎。
在2017年,有一次加密勒索軟件活動針對午餐時間的公司。
效果很好,人們鎖定了計算機,去了吃飯的地方,當每個人在下午2點回到辦公室時,一切都已經加密了。沒有人可以敲響警鐘。
現在,在財政年度末的一次重要董事會會議之前或在對目標進行媒體關注期間,立即進行此攻擊。這可能會嚴重破壞該目標的形象,並造成數百萬甚至數十億美元的損失。在其他地方進行攻擊時,可能根本不會注意到。
當您感染計算機並使用0天攻擊程序時,通常會留下您如何進入的證據。防止自己留下任何證據與擁有沒有漏洞的軟件一樣困難。
許多計算機系統沒有定期打補丁;在這樣的系統上,古老的漏洞利用通常會使您感覺很好。被發現的漏洞利用並沒有太大作用。我的意思是,如果您使用特定漏洞利用互聯網上超過20%的計算機,您可能會注意到補丁率有所提高。但是,您可能沒有。
另一方面,可以將0天攻擊利用分為有安全意識的目標。如果您關心特定的目標,並且它們可以安全運行,那麼0天漏洞利用仍可能使您陷入困境。一旦注意到,他們可能會解決您的漏洞。一旦確定了您的利用,他們便可以將其與供應商共享,後者可能會對其進行修補。
現在,您的0天攻擊已發布了補丁,並且地球上每個安全意識強的系統都阻止其使用。因此,明天,當您真的想闖入某個地方的安全服務器時,您將需要使用不同和 new 漏洞。您已經燒掉了漏洞利用程序。
並非會注意到每次使用漏洞利用程序,也不是每次通知都會產生補丁,但是每次使用都會增加補丁發布的機會,從而破壞您的安全
我們可以用一些國家支持的計算機黑客示例來說明這一點。 Stuxnet使用了四個零日漏洞(沒有安全防範措施)。它的發現導致所有4個補丁被修補,“燃燒”了它們在將來的用處。作為交換,伊朗一堆昂貴的離心機破裂了,從而減慢了伊朗的核研究。
它完成了多枚巡航導彈的工作,外交,人道主義和軍事風險大大降低。
另一個原因是他們目前無法(最佳)使用它。例如:
他們可能有一個特定的目標,例如外交官,但利用程序必須位於同一以太網/ WiFi網絡或物理訪問中。因此,他們必須等到滿足此條件或進行安排以使其滿足條件。
他們還沒有足夠的關於目標的信息。例如,他們需要找出在哪台服務器上託管有趣信息的方法。如果他們在發現文件之前不久就使用了漏洞利用程序,則更有可能被檢測到並燒毀了漏洞利用程序。
他們目前沒有資源/人力因為他們當前正被另一個目標佔據,或者他們所在部門的員工當前正在發動攻擊(甚至壞傢伙也生病了)而發起攻擊。
他們缺乏有效使用所需的其他工具。當受害者打開郵件時,可能使用電子郵件攻擊來運行其代碼,但是所有病毒掃描程序當前都可以檢測到所有RAT-tools / botnet-clients / ransom-ware,因此將其燒錄將毫無用處。