漏洞利用即服務
攻擊即服務或漏洞利用即服務(英語:Exploit as a service)簡稱EaaS,是一種網絡犯罪分子將零日漏洞的利用服務出租給其他黑客的方式。[1]EaaS通常作為雲服務提供。[2]到 2021 年底,EaaS 已成為勒索軟件團伙的新動向。[3]
過去,零日漏洞通常在暗網上出售,但通常售價高昂,每個可達數百萬美元。[3]而租賃模式使許多黑客更容易獲得此類漏洞。[4]這些零日漏洞可以在被高價出售之前租用一段時間。[1]該模式通常與勒索軟件即服務 (RaaS)、網絡釣魚即服務和黑客攻擊即服務 (HaaS)等類似模式相提並論。[1]Haas 包括DoS和DDoS攻擊以及為使用這些服務的黑客維護的殭屍網絡。
攻擊即服務的各環節會面臨各種挑戰。付款通常使用比特幣等加密貨幣進行。使用加密貨幣並不能一直保證匿名性,警方已經能夠在各種情況下抓獲罪犯。[5]並且租用的零日漏洞可能會被發現並可於進行逆向工程。
目前尚不確定其商業模式的盈利能力如何。如果它被認為收益可觀的,那麼提供這類服務的參與者可能會增加。[1]有關攻擊即服務的信息部分來自暗網上的討論,這表明人們對此類服務的興趣日益濃厚。[6]
參見
參考資料
- ^ 1.0 1.1 1.2 1.3 Exploit-as-a-service: Cybercriminals exploring potential of leasing out zero-day vulnerabilities. 16 November 2021. (原始內容存檔於2021-11-23).
- ^ New type of cloud: Exploits as a Service (EaaS). 2021-01-19 [2023-08-11]. (原始內容存檔於2021-01-19).
- ^ 3.0 3.1 Zero-day Flaws and Exploit-as-a-Service Trending Among Ransomware Groups | Cyware Alerts - Hacker News. 2021-12-01 [2023-08-11]. (原始內容存檔於2021-12-01).
- ^ What is hacking as a service (HaaS)? - Definition from WhatIs.com. whatis.techtarget.com. [13 January 2022]. (原始內容存檔於11 August 2021).
- ^ Lincolnshire boy has £2m of cryptocurrency seized by police - BBC News. 2021-11-29 [2023-08-11]. (原始內容存檔於2021-11-29).
- ^ New criminal tactics: exploit-as-a-service and buying zero-day flaws. 2021-11-17 [2023-08-11]. (原始內容存檔於2021-11-17).
外部連結
- 維基共享資源上的相關多媒體資源:漏洞利用即服務
- Exploit-as-a-service: Cybercriminals exploring potential of leasing out zero-day vulnerabilities as saved in the Internet Archive
- Exploit-as-a-Service, high rollers and zero-day criminal tactics as saved in the Internet Archive
- Hacking as a Service as saved in the Internet Archive