零日攻击

零日漏洞零时差漏洞(英语:zero-day vulnerability0-day vulnerability)是指软件或硬件中还没有有效补丁安全漏洞,并且其供应商通常不知晓,而零日攻击零时差攻击(英语:zero-day exploitzero-day attack)则是指利用这种漏洞进行的攻击。由于漏洞已经被描述或被利用,留给软/硬件供应商来准备补丁的时间只有“零天”。

尽管只有少数网络攻击是基于零日漏洞的,但通常认为这比已知漏洞具有更大威胁,因为可以采取的对策更少。

国家是零日漏洞的主要用户,因为发现、购买和编写攻击软件的代价都很高。许多漏洞是由黑客或安全研究人员发现的,除了留作己用,他们还可能会向软/硬件供应商披露这些漏洞(通常是为了换取漏洞赏金),亦或是出售给国家或犯罪集团。在许多流行的软件公司开始对消息和数据进行加密之后,零日漏洞的使用有所增加,因为被加密的数据一般只能通过在其尚未被加密时入侵软件来获取。

定义

尽管开发人员的目标是交付完全按预期工作的产品,但实际上所有软件硬件英语Hardware bug都包含错误。[1]如果一个错误造成了安全风险,它就被称为漏洞。漏洞的可利用性因恶意攻击者而异。有些漏洞根本无法利用,而另一些漏洞则可被用于通过拒绝服务攻击扰乱设备。最有价值的漏洞允许攻击者在用户不知情的情况下注入并运行他们自己的代码。[2]

虽然“零日”一词最初指的是软硬件供应商意识到漏洞后的时间,但零日漏洞也可以定义为没有补丁或其他修复程序可用的漏洞的部分集合。[3][4][5]零日攻击是指利用此类漏洞的任何攻击。[2]

漏洞利用

漏洞利用是指利用漏洞侵入目标系统以达到破坏操作、安装恶意软件窃取数据等目的的传送机制。[6] 研究人员 Lillian Ablon 和 Andy Bogart 写道,“关于零日漏洞利用的真实程度、用途、益处和危害,我们知之甚少”。[7] 基于零日漏洞的漏洞利用被认为比利用已知漏洞的漏洞利用更危险。[8][9] 然而,大多数网络攻击很可能利用的是已知漏洞,而不是零日漏洞。[7]

国家是零日漏洞利用的主要用户,这不仅是因为发现或购买漏洞的成本高昂,还因为编写攻击软件的成本也很高。然而,任何人都可以使用漏洞,[4] 根据兰德公司的研究,“任何坚决的攻击者都可以以可承受的价格获得针对几乎任何目标的零日漏洞”。[10] 许多定向攻击[11] 和大多数高级持续性威胁都依赖于零日漏洞。[12]

据估计,从零日漏洞开发漏洞利用的平均时间为 22 天。[13] 由于流行软件中反漏洞利用功能的增强,开发漏洞利用的难度一直在增加。[14]

漏洞窗口

 
漏洞时间线与曝光窗口

零日漏洞通常分为活漏洞(alive vulnerabilities):指未向公众披露的漏洞;以及死漏洞(dead vulnerabilities):指已被公开披露但尚未修补的漏洞。活漏洞分为正被维护者积极寻找的活跃漏洞(living vulnerabilities);以及无维护软件中的永生漏洞(immortal vulnerabilities)。另外僵尸漏洞(zombie vulnerabilities)是指已在新版本中被修补,但能够在旧版本的软件中被利用的漏洞。[15][16]

即使是公开已知和僵尸漏洞,也经常可以在很长一段时间内被利用。[17][18] 安全补丁的开发可能需要几个月的时间,[19] 甚至可能永远不会被开发出来。[18] 补丁可能会对软件的功能产生负面影响,[18] 用户可能需要测试补丁以确认其功能和兼容性。[20] 较大的组织可能无法识别和修补所有依赖项,而较小的企业和个人用户可能不会安装补丁。[18] 研究表明,如果漏洞被公开或发布了补丁,则网络攻击的风险会增加。[21] 网络犯罪分子可以对补丁进行逆向工程以找到潜在的漏洞并开发漏洞利用,[22] 而且速度通常比用户安装补丁的速度更快。[21]

根据兰德公司 2017 年发布的研究报告,零日漏洞的平均可利用时间为 6.9 年,[23] 而从第三方购买的零日漏洞的平均可利用时间仅为 1.4 年。[13] 研究人员无法确定任何特定平台或软件(例如开源软件)是否与零日漏洞的生命周期有任何关系。[24] 尽管兰德公司的研究人员发现,5% 的秘密零日漏洞会被其他人发现,[23] 但另一项研究发现,重叠率更高,每年高达 10.8% 至 21.9%。

防御措施

由于零日漏洞利用的定义是尚无补丁可以阻止的漏洞,因此所有使用存在漏洞的软件或硬件的系统都处于风险之中,包括银行和政府等所有补丁都已更新的安全系统。[25] 杀毒软件通常无法有效抵御被零日攻击引入的恶意软件。[26] 安全系统的设计是围绕已知漏洞展开的,而零日漏洞利用插入的恶意软件可能会在系统中长时间运行而不被发现。[18]尽管已经有很多关于有效检测零日漏洞利用的系统提案,但这在2023年仍然在研究领域活跃。[27]

许多组织已经采取了纵深防御策略,因此攻击很可能需要突破多级安全防护,这增加了攻击的难度。[28] 常规的网络安全措施,如培训和访问控制(如多因素身份验证最小权限原则物理隔离),使得利用零日漏洞入侵系统变得更加困难。[29] 由于编写完全安全的软件是不可能的,一些研究人员认为,提高漏洞利用的成本是减少网络攻击负担的有效策略。[30]

解决方法

一般而言,零时差攻击唯一彻底解决方法便是由原软件发行公司提供修补程序,但此法通常较慢,因此信息安全软件公司通常会在最新的病毒码中提供回避已知零时差攻击的功能,但无法彻底解决漏洞本身[31]。根据赛门铁克第14期网络安全威胁研究在2008年分析的所有浏览器中,Safari平均要在漏洞出现9天后才会完成修补,需时最久。Mozilla Firefox平均短于1天,需时最短[32]

市场

零时差攻击及其利用代码不仅对犯罪黑客而言具有极高的利用价值,一些国家间谍网军部队,例如美国国家安全局美国网战司令部也非常重视这些信息[33]

 
不同类型漏洞利用程序的平均价格比较,2015-2022 年

零日漏洞利用程序可以卖到数百万美元。[4] 买家主要有三类:[34]

  • 白帽:漏洞的发现者将其出售给供应商,或将其披露给第三方机构(如 Zero Day Initiative英语Zero Day Initiative),再由第三方机构转告供应商。此类披露通常是为了获得漏洞赏金[35][36][37] 然而,并非所有公司都对漏洞披露持积极态度,因为这可能会导致法律责任和运营负担。有甚者在无偿披露漏洞后,收到供应商的停止并终止函并不少见。[38]
  • 灰帽:这是规模最大、[4]获利最丰厚的市场。政府或情报机构购买零日漏洞后,可能会将其用于攻击、储存漏洞或通知供应商。[34] 美国联邦政府是最大的买家之一。[4] 截至 2013 年,五眼联盟(美国、英国、加拿大、澳大利亚和新西兰)占据了该市场的大部分份额,其他重要买家包括俄罗斯、印度、巴西、马来西亚、新加坡、朝鲜和伊朗。后来,中东国家也加大了在该领域的支出。[39]
  • 黑帽:有组织犯罪集团,他们通常更中意漏洞利用程序,而不仅仅是漏洞信息。[40] 这些用户更有可能使用“半日漏洞”,即已有补丁可用的漏洞。[41]

2015 年,政府和犯罪集团的零日漏洞市场规模估计至少是白帽市场的十倍。[34]卖家通常是黑客组织,他们寻找广泛使用的软件中的漏洞以获取经济利益。[42] 有些卖家只向特定买家出售,而另一些卖家则向任何人出售。[41] 白帽卖家更有可能受到非金钱奖励的激励,例如认可和智力挑战。[43] 出售零日漏洞利用程序是合法的。[37][44] 尽管有人呼吁加强监管,但法律教授梅林·菲德勒(Mailyn Fidler)表示,达成国际协议的可能性很小,因为俄罗斯和以色列等关键参与者对此不感兴趣。[44]

在零日漏洞交易中,买卖双方往往非常隐秘,依靠保密协议机密信息法律来保守漏洞的秘密。如果漏洞被公开,就可以对其进行修补,其价值也会随之崩溃。[45] 由于市场缺乏透明度,各方可能难以找到公平的价格。如果漏洞在得到验证之前就被披露,或者买方拒绝购买但仍然使用了该漏洞,卖家可能无法获得报酬。随着中间商的激增,卖家可能永远不知道漏洞利用程序的最终用途。[46]买方也无法保证该漏洞没有被出售给其他方。[47]买卖双方都在暗网上发布广告。[48]

2022 年发表的一项研究基于单个漏洞经纪人支付的最高价格,发现漏洞利用程序的价格年化通货膨胀率为 44%。远程零点击漏洞利用程序的价格最高,而需要本地访问设备的漏洞利用程序则便宜得多。[49]广泛使用的软件中的漏洞也更贵。[50]他们估计,大约有 400 到 1200 人向该经纪人出售漏洞利用程序,他们每年的平均收入约为 5000 到 20000 美元。[51]

披露与储备

截至2017年 (2017-Missing required parameter 1=month!),关于美国政府是否应该披露其已知的漏洞以便进行修补,还是将其保密以供己用,一直存在争论。[52]国家选择对漏洞保密的原因包括希望将其用于进攻性目的,或用于渗透测试等防御性目的。[10]而披露漏洞则可以降低消费者和所有软件用户成为恶意软件数据泄露受害者的风险。[1]

历史

在苹果、谷歌、脸谱和微软等公司对服务器和信息进行加密之后,零日漏洞攻击的重要性日益凸显。这意味着访问用户数据的唯一方法是在数据被加密之前,在其源头进行拦截。[25] 最著名的零日漏洞攻击案例之一是震网病毒(Stuxnet),该病毒在 2010 年利用了四个零日漏洞对伊朗核计划造成了破坏。[7]震网病毒展示了零日漏洞攻击的潜在破坏力,也引发了零日漏洞市场的扩张。[39]

在美国大型科技公司拒绝在其软件中安装后门程序后,美国国家安全局(NSA)加大了对零日漏洞的搜寻力度,并责成特定入侵行动办公室(TAO)发现和购买零日漏洞。[53] 2007 年,美国国家安全局前雇员查理·米勒英语Charlie Miller (security researcher)首次公开披露美国政府正在购买零日漏洞。[54] 2013 年,美国国家安全局承包商雇员 爱德华·斯诺登 泄露的文件中披露了有关美国国家安全局参与零日漏洞攻击的一些信息,但缺乏细节。[53] 记者妮可·珀洛斯得出结论:“要么是斯诺登作为承包商的身份无法让他深入到政府系统中获取必要的情报,要么是政府获取零日漏洞的一些来源和方法过于机密或具有争议性,以至于该机构从未敢将其付诸笔端”。[55]

著名的零日攻击

参考资料

  1. ^ 1.0 1.1 Ablon & Bogart 2017,第1页.
  2. ^ 2.0 2.1 Ablon & Bogart 2017,第2页.
  3. ^ Ablon & Bogart 2017,第iii, 2页.
  4. ^ 4.0 4.1 4.2 4.3 4.4 Sood & Enbody 2014,第1页.
  5. ^ Perlroth 2021,第7页.
  6. ^ Strout 2023,第23页.
  7. ^ 7.0 7.1 7.2 Ablon & Bogart 2017,第3页.
  8. ^ Sood & Enbody 2014,第24页.
  9. ^ Bravo & Kitchen 2022,第11页.
  10. ^ 10.0 10.1 Ablon & Bogart 2017,第xiv页.
  11. ^ Sood & Enbody 2014,第2-3, 24页.
  12. ^ Sood & Enbody 2014,第4页.
  13. ^ 13.0 13.1 Ablon & Bogart 2017,第xiii页.
  14. ^ Perlroth 2021,第142页.
  15. ^ Ablon, Lillian; Bogart, Andy. Zero Days, Thousands of Nights: The Life and Times of Zero-Day Vulnerabilities and Their Exploits. 2017-03-08 (英语). 
  16. ^ Ablon & Bogart 2017,第xi页.
  17. ^ Ablon & Bogart 2017,第8页.
  18. ^ 18.0 18.1 18.2 18.3 18.4 Sood & Enbody 2014,第42页.
  19. ^ Strout 2023,第26页.
  20. ^ Libicki, Ablon & Webb 2015,第50页.
  21. ^ 21.0 21.1 Libicki, Ablon & Webb 2015,第49–50页.
  22. ^ Strout 2023,第28页.
  23. ^ 23.0 23.1 Ablon & Bogart 2017,第x页.
  24. ^ Ablon & Bogart 2017,第xi-xii页.
  25. ^ 25.0 25.1 Perlroth 2021,第8页.
  26. ^ Sood & Enbody 2014,第125页.
  27. ^ Ahmad et al. 2023,第10733页.
  28. ^ Strout 2023,第24页.
  29. ^ Libicki, Ablon & Webb 2015,第104页.
  30. ^ Dellago, Simpson & Woods 2022,第41页.
  31. ^ 马培治. 零時差攻擊. DIGITIMES. 2009-07-08 [2018-02-02]. (原始内容存档于2018-02-02) (中文(繁体)). 
  32. ^ 赛门铁克发布安全报告2008年病毒及恶意软件数量飙升. 资讯信息网. 2016-02-24. (原始内容存档于2017-03-05) (中文(简体)). 
  33. ^ KIM ZETTER. 黑客词库:何谓“零時差攻击”. 青岛多芬诺信息安全技术有限公司. WIRED. 2014-12-15 [2018-02-02]. (原始内容存档于2018-02-02) (中文(简体)). 
  34. ^ 34.0 34.1 34.2 Libicki, Ablon & Webb 2015,第44页.
  35. ^ Dellago, Simpson & Woods 2022,第33页.
  36. ^ O'Harrow 2013,第18页.
  37. ^ 37.0 37.1 Libicki, Ablon & Webb 2015,第45页.
  38. ^ Strout 2023,第36页.
  39. ^ 39.0 39.1 Perlroth 2021,第145页.
  40. ^ Libicki, Ablon & Webb 2015,第44, 46页.
  41. ^ 41.0 41.1 Libicki, Ablon & Webb 2015,第46页.
  42. ^ Sood & Enbody 2014,第116页.
  43. ^ Libicki, Ablon & Webb 2015,第46-47页.
  44. ^ 44.0 44.1 Gooding, Matthew. Zero day vulnerability trade is lucrative but risky. Tech Monitor. 19 July 2022 [4 April 2024]. 
  45. ^ Perlroth 2021,第42页.
  46. ^ Perlroth 2021,第57页.
  47. ^ Perlroth 2021,第58页.
  48. ^ Sood & Enbody 2014,第117页.
  49. ^ Dellago, Simpson & Woods 2022,第31, 41页.
  50. ^ Libicki, Ablon & Webb 2015,第48页.
  51. ^ Dellago, Simpson & Woods 2022,第42页.
  52. ^ Ablon & Bogart 2017,第iii页.
  53. ^ 53.0 53.1 Perlroth 2021,第9页.
  54. ^ Perlroth 2021,第60, 62页.
  55. ^ Perlroth 2021,第10页.

外部链接

参考来源