Mengapa seorang penyerang yang pernah ingin duduk di zero-day exploit?
Saya mencoba untuk memahami mengapa seorang penyerang akan ingin menunggu untuk menggunakan zero-day exploit.
Saya telah membaca bahwa penyerang tidak ingin menyia-nyiakan nol-hari karena mereka biasanya sangat mahal untuk mendapatkan di tempat pertama, tetapi hal ini tidak jelas bagi saya apa yang dimaksud dengan "limbah" di sini. Nol-hari dapat ditemukan oleh masyarakat (misalnya peneliti keamanan) yang akan membuat itu berguna. Dalam pengertian ini, zero-day yang telah terbuang oleh kelambanan penyerang. Apakah ada risiko dengan menggunakan zero-day exploit terlalu cepat? Tampaknya bahwa penyerang akan ingin untuk meminimalkan kemungkinan zero-day yang ditemukan, dan dengan demikian menggunakannya secepat mungkin.
Pertanyaan: faktor-faktor Apa yang menyebabkan penyerang untuk menunggu untuk menggunakan zero-day exploit?
It's lebih mungkin bahwa anda'll burn 0day dengan menggunakan ini daripada dengan duduk di atasnya.
Ada's keseimbangan yang baik antara duduk di 0day begitu lama bahwa itu akan ditemukan oleh orang lain dan ditambal, dan menggunakan itu terlalu dini dan tidak perlu, membakar. Keseimbangan cenderung untuk menimbang dalam mendukung menunggu lebih lama, karena baik 0day akan menjadi cukup jelas bahwa itu tidak't dapat dengan cepat ditemukan. Risiko terbesar benar-benar isn't penemuan dalam kasus itu, tapi usang ketika rentan kode ditulis ulang atau dihapus untuk benar-benar alasan yang tidak terkait, dan 0day exploit tidak lagi bekerja.
Sebagian besar waktu, namun, penyerang hanya doesn't need untuk menggunakannya. Jika saya memiliki berharga Linux lokal privilege escalation exploit, mengapa saya sedikit ekstra pengintaian memberitahu saya, saya dapat menggunakan exploit terhadap aplikasi yang tidak ditambal istimewa daemon? Lebih baik untuk menjaga hal itu di hari-hari hujan dana.
Ada beberapa alasan lain 0days dapat disimpan untuk waktu yang lama:
Beberapa orang hanya menimbun 0days untuk kepentingan itu. Ini semua terlalu umum.
Mungkin anda meminjam 0day dari seseorang, dalam hal ini pembakaran itu akan mengganggu mereka.
Kadang-kadang 0day broker duduk di dalamnya sambil menunggu waktu yang tepat untuk klien.
Yang 0day mungkin berguna pada mereka sendiri, yang perlu dirantai dengan eksploitasi lainnya untuk bekerja.
Ada beberapa [penelitian](https://www.youtube.com/watch?v=8BMULyCiSK4) disampaikan pada BH KAMI yang menganalisis kehidupan 0days.
0 hari tergantung pada kerentanan lain yang ditemukan untuk menjadi efektif digunakan. Misalnya anda dapat't menggunakan privilege escalation jika anda don't memiliki kode eksekusi di tempat pertama. Hal ini juga dapat bekerja dengan cara lain di mana anda'd seperti yang lain 0 hari untuk jaringan setelah salah satu yang anda miliki saat ini.
Penyerang doesn't memiliki target yang layak untuk menggunakannya. I'll juga menunjukkan bahwa penyerang mungkin tidak mengeksploitasi semuanya sekaligus karena jika 0 hari adalah tahu anda memenangkan't dapat menggunakannya di masa depan. Apa yang ingin anda hack ke bahkan mungkin tidak ada ketika anda menemukan 0 hari.
Mengeksploitasi 0 hari mungkin ilegal. Orang-orang masih dapat membuat uang dari itu dengan menjual kepada penawar tertinggi (termasuk negosiasi untuk uang yang anda dapatkan dari bug bounty program)
Karena cara-cara lama adalah yang terbaik. Mengapa pukulan yang mahal 0-hari ketika anda hanya dapat menggunakan sweet SMBv1 serangan atau SQLi yang akan memberikan anda hasil yang sama? Menggunakan 0-hari dapat mengakibatkan penemuan dari forensik respon mengurangi nilai dan menghilangkan jumlah target itu akan efektif melawan.
Dari sudut pandang penyerang, zero-day exploit adalah sumber daya yang berharga karena hal ini tidak diketahui publik. Hal ini memberikan penyerang elemen kejutan ketika itu benar-benar dikerahkan, karena target tidak akan mampu untuk secara proaktif membela terhadap hal itu.
Setiap kali sebuah zero-day yang digunakan, ada's kesempatan itu'll ditemukan oleh target dan kerentanan ditambal oleh vendor perangkat lunak. Setelah kerentanan ditutup, kegunaan mengeksploitasi sangat berkurang dan terbatas pada target-target yang belum memperbarui perangkat lunak. Hal ini dikenal sebagai "pembakaran" exploit.
Karena tujuan dari sebagian besar penyerang saat ini adalah untuk secara langsung atau tidak langsung mendapatkan uang (misalnya dengan mencuri informasi pribadi dari target dan menggunakannya untuk melakukan penipuan identitas), zero-day eksploitasi memiliki nilai ekonomi. Exploit kehilangan nilainya jika dibakar dan diberikan tidak efektif. Pada dasarnya, zero-day adalah berharga dan dibuang senjata yang harus disimpan untuk digunakan terhadap target bernilai tinggi yang tidak dapat dimanfaatkan melalui publik kerentanan diketahui.
Ini berarti, misalnya, bahwa seorang penyerang menargetkan sistem yang menjalankan versi lama dari bagian tertentu dari perangkat lunak dengan kerentanan diketahui akan ingin menggunakan yang sudah ada, yang tersedia secara publik mengeksploitasi daripada menggunakan zero-day exploit dan risiko terbakar itu. Mengapa membuang-buang sumber daya yang berharga ketika anda bisa mendapatkan pekerjaan yang dilakukan dengan kurang mahal solusi?
Mungkin seorang penyerang dengan 0day menunggu kesempatan yang baik.
Sebagian besar target mereka tertinggi dan terendah. Jika salah satu's tujuan adalah untuk menghancurkan kekacauan, dan membuat banyak dammages mungkin, kemudian menggunakan 0day segera setelah mengungkap hal itu mungkin bukan ide yang terbaik.
Beberapa target telah beku periode, di mana mereka kekurangan tenaga kerja dan tidak harus menyentuh mereka kritis lingkungan. Beberapa lainnya memiliki periode kritis untuk peluncuran produk baru, atau menangani terutama anak set data.
Mengeksploitasi kerentanan yang ditemukan sebelum acara seperti ini, berarti ada's risiko itu'll ditemukan sebelum hal itu terjadi. Dan jadi penyerang kehilangan kesempatan untuk memukul cukup sulit.
Ia harus menunggu sampai dia tahu cukup tentang target untuk menyerang persis di mana dan yang lebih penting ketika sakit, dan itu akan menjadi jackpot.
Pada tahun 2017, ada kripto ransomware kampanye yang ditargetkan compagnies selama jam makan siang.
Yang bekerja dengan baik, orang-orang yang terkunci di komputer mereka, pergi ke suatu tempat untuk makan, dan ketika semua orang kembali ke kantor mereka pada 2 P. M semuanya sudah penulisan kode. Tidak ada seorang pun di sana untuk membunyikan alarm bell.
Sekarang menerapkan serangan ini sebelum penting pertemuan dewan pada akhir tahun keuangan, atau selama periode mediatic perhatian ke target. Itu bisa merusak parah image dari target ini, dan biaya jutaan jika tidak miliaran. Saat melakukan serangan di beberapa titik lain yang mungkin tidak diperhatikan sama sekali.
Ketika anda menginfeksi komputer dan menggunakan 0-day exploit, bukti bagaimana anda sampai di sering tertinggal. Mencegah diri dari meninggalkan bukti apapun tentang sekeras memiliki perangkat lunak yang telah ada eksploitasi itu, nyaris mustahil.
Banyak sistem komputer aren't ditambal secara teratur; pada sistem seperti itu, lama exploit biasanya akan membuat anda baik-baik saja. Ini exploit yang ditemukan ... doesn't berbuat banyak. Maksud saya, jika anda mengambil lebih dari 20% dari komputer-komputer di internet dengan exploit tertentu, anda mungkin melihat peningkatan patch tarif. Tapi anda mungkin tidak.
0-day exploit, di sisi lain, dapat digunakan untuk membobol keamanan-sadar target. Jika anda peduli tentang spesifik target, dan mereka bekerja di tempat yang aman, 0-day exploit mungkin masih bisa masuk.
Serangan anda mungkin, namun, harus diperhatikan. Dan setelah melihat, mereka mungkin bekerja keluar anda exploit. Dan setelah mereka bekerja di luar exploit, mereka bisa berbagi dengan vendor, yang mungkin patch itu; atau mereka mungkin hack patch sendiri.
Dan sekarang, anda 0-day exploit memiliki patch yang diterbitkan, dan setiap yang sadar keamanan sistem di planet blok penggunaannya. Jadi besok, ketika anda benar-benar ingin masuk ke server yang aman di suatu tempat, anda'll kebutuhan yang berbeda dan baru* exploit. Anda terbakar anda exploit.
Tidak setiap penggunaan exploit akan melihat, dan tidak setiap pemberitahuan akan menghasilkan patch, tapi setiap penggunaan meningkatkan kemungkinan bahwa patch akan tiba bahwa istirahat anda exploit.
Kita dapat menggambarkan hal ini dengan beberapa contoh yang disponsori negara hacking komputer. Stuxnet yang digunakan empat zero-day kekurangan (yang tidak ada keamanan terhadap). Penemuan led untuk semua 4 yang ditambal, "pembakaran" kegunaan mereka di masa depan. Dalam pertukaran, tumpukan mahal sentrifugal di Iran pecah, memperlambat penelitian nuklir Iran.
Itu pekerjaan dari beberapa rudal jelajah, dengan jauh lebih sedikit diplomatik, kemanusiaan dan militer risiko.
Alasan lain adalah mereka dapat't menggunakannya (optimal) pada saat ini. Contoh:
Mereka mungkin memiliki sasaran spesifik, seperti seorang diplomat di pikiran tapi exploit membutuhkan untuk berada di tempat yang sama Ethernet-/WiFi-jaringan atau akses fisik. Jadi mereka harus menunggu sampai kondisi ini terpenuhi atau mengaturnya sehingga kondisi ini terpenuhi.
Mereka don't memiliki cukup informasi tentang target belum. Misalnya, mereka perlu menemukan cara di mana server informasi menarik-host. Jika mereka menggunakan exploit untuk segera sebelum menemukan file, semakin besar kemungkinan itu adalah mereka terdeteksi dan mengeksploitasi akan dibakar.
Mereka saat ini don't memiliki sumber daya/tenaga kerja untuk meluncurkan serangan karena mereka sedang sibuk dengan target lain atau karyawan dari departemen mereka untuk meluncurkan serangan yang saat ini sedang sakit (bahkan orang-orang jahat sakit).
Mereka tidak memiliki alat-alat lain yang diperlukan untuk penggunaan yang efektif. Mungkin memiliki Email exploit untuk menjalankan kode mereka ketika korban membuka e-mail, tetapi semua TIKUS-alat/botnet-klien/ransom-ware saat ini terdeteksi oleh semua virus scanner, sehingga akan berguna untuk membakarnya.