Frage:
Warum sollte ein Angreifer jemals auf einem Zero-Day-Exploit sitzen wollen?
jonem
2018-12-03 06:33:25 UTC
view on stackexchange narkive permalink

Ich versuche zu verstehen, warum ein Angreifer warten möchte, um einen Zero-Day-Exploit zu verwenden.

Ich habe gelesen, dass ein Angreifer den Zero-Day nicht verschwenden möchte, da die Beschaffung in der Regel in erster Linie sehr teuer ist, aber mir ist nicht klar, was hier unter „Verschwendung“ zu verstehen ist . Zero-Days können von der Community (z. B. Sicherheitsforschern) entdeckt werden, was sie unbrauchbar machen würde. In diesem Sinne wurde der Zero-Day durch die Untätigkeit des Angreifers verschwendet. Besteht das Risiko, dass der Zero-Day-Exploit zu früh verwendet wird? Es scheint, dass ein Angreifer die Wahrscheinlichkeit, dass der Zero-Day entdeckt wird, minimieren und ihn so schnell wie möglich nutzen möchte.

Frage: Welche Faktoren würden den Angreifer veranlassen, auf die Verwendung eines Zero-Day-Exploits zu warten?

Neben der zufälligen Entdeckung durch andere können zwei Dinge einen Nulltag verderben.Zuerst benutzt du es und es wird erkannt.Und zweitens verkaufen Sie es, was auch die Wahrscheinlichkeit einer Offenlegung oder Entdeckung erhöht.Je mehr Sie es verwenden oder teilen, desto größer ist das Risiko.(Abgesehen davon kann es lange dauern, bis ein gebrauchter Nulltag entdeckt wird, wenn Sie vorsichtig sind.)
Ein Grund, an den ich denken kann, ist, dass sie gerade genug Moral haben, um es nicht selbst zu benutzen, aber nicht genug, um sie daran zu hindern, es zu verkaufen und den höchsten Preis zu erzielen.
Weil bestimmte Länder gutes Geld für sie bezahlen ... Böse fremde Länder, sicherlich nicht die USA, weil wir kein fremdes Land sind ...
@Chloe Einige Leute verkaufen Exploits, verkaufen sie aber nur an private Käufer und niemals an Regierungen (obwohl staatliche Auftragnehmer höhere Preise zahlen).Das macht es weitaus ethischer.
Wenn Sie 10% Rabatt auf Ihren nächsten Einkauf erhalten, möchten Sie ihn lieber morgen für Ihren Einkauf von 10 £ oder für das neue Auto von 10000 £ im nächsten Monat verwenden?
@Harper Ha ha ... Jeder ist jemandem fremd ... :-)
"Ursache des ** Angreifers **" - dies ist Ihr erstes Missverständnis.Angreifer sind fast NIE die Leute, die Zero-Day-Exploits entdecken.Es sind Leute, die aus verschiedenen Gründen den Computer anderer Leute hacken wollen.Entdecker von Exploits hingegen sind in der Regel Programmierer, die neugierig sind, ob sie eine Software beschädigen können.Manchmal können diese beiden Personen dieselbe Person sein, jedoch zu unterschiedlichen Zeitpunkten.Der Moment, in dem ich selbst einen Sicherheitsfehler entdecke, ist fast nie gleichzeitig, dass ich wütend auf jemanden bin
Wenn ich Ihnen eine illegale Waffe geben würde, würden Sie dann sofort damit beginnen, sie zu schießen?Die Polizei alarmieren und den Clip leeren?Nein, Sie würden auf etwas warten, auf das es sich zu schießen lohnt.
@slebetman Das stimmt eigentlich nicht immer.Mit Ausnahme von großen Exploit-Kits wie CANVAS und Core Impact verwenden diejenigen, die 0 Tage finden, diese sehr oft selbst.Tatsächlich hat jeder, den ich kenne, der 0 Tage gefunden hat (der sie nicht gemeldet hat), es selbst benutzt oder behält es für seinen eigenen Gebrauch.
Warum hat der amerikanische Schachgroßmeister Frank Marshall mehrere Jahre gewartet, um seinen gefährlichen Marshall-Angriff im Ruy Lopez zu enthüllen?Er wollte ein gutes Ziel dafür.Er hätte es verwenden können, sobald er es gegen schwächere Spieler entdeckt hatte, aber es für ein Spiel gegen Capablanca (den damals stärksten Spieler der Welt) behalten.Capablanca hat leicht gewonnen, aber das ist eine andere Geschichte.(Es gibt eine Debatte darüber, ob es apokryphisch ist, ob Marshall sein offenes Geheimnis jahrelang geheim hält oder nicht, aber es ist ein Standardstück der Schachkunde).
Warum werden die Kommentare hier alle verwendet, um Analogien bereitzustellen?
@forest Sie haben meinen Standpunkt bezüglich des Angreifers verpasst, und der Entdecker ist möglicherweise dieselbe Person, aber zu unterschiedlichen Zeitpunkten.Ich persönlich habe es nie geschafft, einen Exploit zu finden, wenn ich einen verwenden muss, und ich wette, dass es für die Leute, die Sie kennen, dasselbe ist
@slebetman Ah du hast recht, das habe ich vermisst.Guter Punkt.
@forest, weil Analogien (wohl) Spaß machen und möglicherweise aufschlussreich sind, aber offensichtlich keine Antworten sind.
@forest Angenommen, Ihr Kommentar war ein Keks, und Sie wollten etwas Butter darauf geben ...
Nur die Kommentare hier geben genügend Daten, um ein gutes Diagramm darüber zu zeichnen, was die Leute auf dieser Site tun würden.Interessanterweise sagte keine einzige Person, sie würde nur Zeit damit verbringen, die richtige ehrliche Person zu finden, um sie zu erzählen, damit sie repariert und nicht ausgenutzt werden kann.
Sieben antworten:
forest
2018-12-03 09:09:40 UTC
view on stackexchange narkive permalink

Es ist wahrscheinlicher, dass Sie einen 0-Tage verbrennen, wenn Sie ihn verwenden, als wenn Sie darauf sitzen.

Es gibt ein gutes Gleichgewicht zwischen dem Sitzen an einem 0-Tag, so lange es dauert von jemand anderem entdeckt und gepatcht und zu früh und unnötig verwendet, brennt. Die Waage tendiert dazu, länger zu warten, da ein guter Tag so dunkel sein wird, dass er nicht schnell gefunden wird. Das größte Risiko besteht in diesem Fall nicht in der Entdeckung, sondern in der Veralterung, wenn der anfällige Code aus völlig unabhängigen Gründen neu geschrieben oder entfernt wird und der 0-Tage-Exploit nicht mehr funktioniert.

Meistens jedoch Ein Angreifer braucht einfach nicht , um es zu verwenden. Wenn ich einen wertvollen Exploit zur Eskalation lokaler Linux-Berechtigungen habe, warum sollte ich ihn verwenden, wenn mir ein wenig zusätzliche Aufklärung sagt, dass ich einen alten Exploit gegen einen nicht ordnungsgemäß gepatchten privilegierten Daemon verwenden kann? Es ist besser, es im Fonds für Regentage zu behalten.

Es gibt einige andere Gründe, warum 0 Tage für lange Zeiträume aufbewahrt werden können:

  1. Manche Leute horten einfach 0 Tage für der Sache zuliebe. Dies ist nur allzu häufig der Fall.

  2. Vielleicht haben Sie den 0-Tag von jemandem ausgeliehen. In diesem Fall würde das Verbrennen ihn verärgern.

  3. Manchmal sitzt ein 0-Tage-Broker auf ihnen und wartet auf den richtigen Client.

  4. Der 0-Tage-Broker kann für sich genommen unbrauchbar sein und muss mit anderen Exploits verkettet werden, um zu funktionieren.

    5. ol>

    Bei BH US wurden einige interessante Forschungsergebnisse vorgestellt, die das Leben von 0 Tagen analysierten.

"Der 0-Tag kann für sich genommen nutzlos sein und muss mit anderen Exploits verkettet werden, um zu funktionieren."Dies ist eine große.Bei den heutigen komplexen und vielschichtigen Systemen erfordert die maximale Kompromittierung eines Ziels häufig mehr als einen Exploit.(Vielleicht ein 0-Tage, vielleicht ein bekannter, vielleicht ein menschlicher Exploit usw.)
Was bedeutet es, einen Exploit "auszuleihen"?
@Oddthinking Jemand könnte Ihnen genug vertrauen, um Ihnen einen Tag zu geben, den Sie sicher (möglicherweise nur einmal) verwenden können, unter der Bedingung, dass Sie ihn nicht weiter verwenden.
@Oddthinking - Genau wie beim Stapelaustausch, bei dem Leute Probleme zum "Spaß" ohne materiellen Gewinn lösen, haben Leute, die an Software-Schwachstellen basteln, manchmal das Bedürfnis, ihr Wissen zum "Spaß" zu teilen.Es macht keinen Spaß, wenn Sie Ihr Wissen nicht zeigen können.
Anon
2018-12-03 10:51:37 UTC
view on stackexchange narkive permalink

    Der Tag 0 hängt davon ab, ob eine andere Sicherheitsanfälligkeit entdeckt wurde, die effektiv genutzt werden kann. Beispielsweise können Sie keine Berechtigungseskalation verwenden, wenn Sie überhaupt keine Codeausführung haben. Dies kann auch andersherum funktionieren, wenn Sie möchten, dass ein weiterer 0-Tag nach dem aktuellen verkettet wird.

  1. Der Angreifer hat kein würdiges Ziel, um ihn zu verwenden auf. Ich werde auch darauf hinweisen, dass der Angreifer möglicherweise nicht alles auf einmal ausnutzt, denn wenn der 0-Tag herausgefunden wird, können Sie ihn in Zukunft nicht mehr verwenden. Was Sie hacken möchten, existiert möglicherweise nicht einmal, wenn Sie den 0-Tag finden.

  2. Das Ausnutzen des 0-Tages ist möglicherweise illegal. Die Leute können immer noch Geld damit verdienen, indem sie es an den Meistbietenden verkaufen (dazu gehört auch das Aushandeln des Geldes, das Sie von einem Bug-Bounty-Programm erhalten).

    3. ol>
McMatty
2018-12-03 07:55:52 UTC
view on stackexchange narkive permalink

Weil die alten Methoden die besten sind. Warum einen teuren 0-Tag sprengen, wenn Sie nur einen süßen SMBv1-Angriff oder SQLi verwenden können, der das gleiche Ergebnis liefert? Die Verwendung eines 0-Tages kann zur Entdeckung einer forensischen Antwort führen Wertminderung und Eliminierung der Anzahl der Ziele, gegen die sie wirksam ist.

bwDraco
2018-12-03 09:54:25 UTC
view on stackexchange narkive permalink

Aus Sicht des Angreifers ist ein Zero-Day-Exploit eine wertvolle Ressource, da er nicht öffentlich bekannt ist. Dies gibt dem Angreifer das Überraschungselement, wenn er tatsächlich eingesetzt wird, da das Ziel nicht in der Lage ist, sich proaktiv dagegen zu verteidigen.

Jedes Mal, wenn ein Zero-Day verwendet wird, besteht die Möglichkeit, dass dies der Fall ist vom Ziel entdeckt und die vom Softwareanbieter behobene Sicherheitsanfälligkeit. Sobald die Sicherheitsanfälligkeit geschlossen ist, wird der Nutzen des Exploits stark reduziert und auf Ziele beschränkt, die die Software nicht aktualisiert haben. Dies wird als "Brennen" des Exploits bezeichnet.

Weil das Ziel der meisten Angreifer heutzutage darin besteht, direkt oder indirekt Geld zu verdienen (z. B. indem persönliche Informationen vom Ziel gestohlen und verwendet werden) Zero-Day-Exploits haben wirtschaftlichen Wert. Der Exploit verliert seinen Wert, wenn er gebrannt und unwirksam gemacht wird. Im Wesentlichen ist ein Zero-Day eine wertvolle und entbehrliche Waffe, die zur Verwendung gegen hochwertige Ziele aufbewahrt werden sollte, die nicht durch öffentlich bekannte Sicherheitslücken ausgenutzt werden können.

Dies bedeutet beispielsweise, dass ein Angreifer Wenn Sie auf ein System abzielen, auf dem eine ältere Version einer bestimmten Software mit bekannten Sicherheitslücken ausgeführt wird, möchten Sie einen vorhandenen, öffentlich verfügbaren Exploit verwenden, anstatt den Zero-Day-Exploit zu verwenden, und riskieren, ihn zu brennen. Warum eine wertvolle Ressource verschwenden, wenn Sie die Arbeit mit einer kostengünstigeren Lösung erledigen können?

Kaël
2018-12-03 19:55:53 UTC
view on stackexchange narkive permalink

Vielleicht wartet ein Angreifer mit einem 0-Tag auf eine gute Gelegenheit.

Die meisten Ziele haben ihre Höhen und Tiefen. Wenn das Ziel darin besteht, das Chaos zu zerstören und so viele Schäden wie möglich zu verursachen, ist es möglicherweise nicht die beste Idee, einen 0-Tag unmittelbar nach dem Aufdecken zu verwenden.

Einige Ziele haben eingefrorene Perioden, in denen ihnen Arbeitskräfte fehlen und sie ihre kritischen Umgebungen nicht berühren dürfen. Einige andere haben kritische Zeiträume, um ein neues Produkt auf den Markt zu bringen oder einen besonders sensiblen Datensatz zu verarbeiten.

Wenn Sie die vor einem solchen Ereignis gefundene Sicherheitsanfälligkeit ausnutzen, besteht das Risiko, dass sie entdeckt wird, bevor sie auftritt. Und so verliert der Angreifer die Gelegenheit, ziemlich hart zu treffen.

Sollte er warten, bis er genug über ein Ziel weiß, um genau zu treffen, wo und was noch wichtiger ist, wenn es weh tut, und es wird ein Jackpot.

Im Jahr 2017 gab es eine Krypto-Ransomware-Kampagne, die sich an Unternehmen während der Mittagspause richtete.

Das hat gut funktioniert, die Leute haben ihre Computer abgeschlossen, sind irgendwohin gegangen, um etwas zu essen, und als alle um 14 Uhr in ihr Büro zurückkehren, war alles bereits verschlüsselt. Es war niemand da, um die Alarmglocke zu läuten.

Wenden Sie diesen Angriff nun kurz vor einer wichtigen Vorstandssitzung am Ende des Geschäftsjahres oder während einer Phase medialer Aufmerksamkeit für das Ziel an. Es könnte das Image dieses Ziels schwer beschädigen und Millionen, wenn nicht Milliarden kosten. Während eines Angriffs an einem anderen Punkt wird dies möglicherweise überhaupt nicht bemerkt.

Yakk
2018-12-05 01:27:22 UTC
view on stackexchange narkive permalink

Wenn Sie einen Computer infizieren und einen 0-Tage-Exploit verwenden, bleiben häufig Beweise dafür zurück, wie Sie hineingekommen sind. Es ist ungefähr so ​​schwer, zu verhindern, dass Sie Beweise hinterlassen, wie Software zu haben, die keine Exploits enthält. Fast unmöglich.

Viele Computersysteme werden nicht regelmäßig gepatcht. Auf einem solchen System bringt Sie ein alter Exploit normalerweise in Ordnung. Dieser Exploit, der entdeckt wird ... macht nicht viel. Ich meine, wenn Sie 20% der Computer im Internet mit einem bestimmten Exploit übernommen haben, werden Sie möglicherweise einen Anstieg der Patch-Raten feststellen. Möglicherweise jedoch nicht.

Ein 0-Tage-Exploit kann dagegen verwendet werden, um in sicherheitsbewusste Ziele einzudringen. Wenn Sie sich für das spezifische Ziel interessieren und es sicher arbeitet, werden Sie möglicherweise durch den 0-Tage-Exploit dennoch dazu gebracht.

Ihr Angriff wird jedoch möglicherweise bemerkt. Und sobald sie bemerkt werden, könnten sie Ihren Exploit ausarbeiten. Und sobald sie Ihren Exploit ausgearbeitet haben, können sie ihn mit dem Anbieter teilen, der ihn möglicherweise patcht. oder sie hacken selbst einen Patch.

Und jetzt hat Ihr 0-Tage-Exploit Patches veröffentlicht, und jedes sicherheitsbewusste System auf dem Planeten blockiert seine Verwendung. Wenn Sie also morgen wirklich irgendwo in einen sicheren Server eindringen möchten, benötigen Sie andere und neue Exploits. Sie haben Ihren Exploit verbrannt.

Nicht jede Verwendung Ihres Exploits wird bemerkt, und nicht jede Benachrichtigung wird zu einem Patch führen, aber jede Verwendung erhöht die Wahrscheinlichkeit, dass ein Patch eintrifft, der Ihren beschädigt Exploit.

Wir können dies anhand einiger Beispiele für staatlich gefördertes Computer-Hacking veranschaulichen. Stuxnet verwendete vier Zero-Day-Fehler (gegen die es keine Sicherheit gab). Seine Entdeckung führte dazu, dass alle 4 gepatcht wurden, was ihre Nützlichkeit in der Zukunft "verbrannte". Im Gegenzug brach ein Haufen teurer Zentrifugen im Iran, was die iranische Atomforschung verlangsamte.

Es wurden mehrere Marschflugkörper mit weitaus weniger diplomatischen, humanitären und militärischen Risiken eingesetzt.

H. Idden
2018-12-04 01:27:29 UTC
view on stackexchange narkive permalink

Ein weiterer Grund ist, dass sie es derzeit nicht (optimal) verwenden können. Beispiele sind:

  • Sie haben möglicherweise ein bestimmtes Ziel wie einen Diplomaten im Sinn, aber der Exploit muss sich im selben Ethernet- / WiFi-Netzwerk oder physischen Zugriff befinden. Sie müssen also warten, bis diese Bedingung erfüllt ist, oder sie so arrangieren, dass die Bedingung erfüllt ist.

  • Sie haben noch nicht genügend Informationen über das Ziel. Zum Beispiel müssen sie herausfinden, auf welchem ​​Server die interessanten Informationen gehostet werden. Wenn sie den Exploit kurz vor dem Auffinden der Dateien verwenden, ist es wahrscheinlicher, dass sie erkannt werden und der Exploit verbrannt wird.

  • Sie verfügen derzeit nicht über die Ressourcen / Arbeitskräfte um den Angriff zu starten, weil sie derzeit mit einem anderen Ziel beschäftigt sind oder die Mitarbeiter ihrer Abteilung zum Starten der Angriffe derzeit krank sind (sogar böse Jungs werden krank).

  • Ihnen fehlt andere Werkzeuge, die für eine effektive Nutzung erforderlich sind. Möglicherweise haben sie einen E-Mail-Exploit, um ihren Code auszuführen, wenn das Opfer die E-Mail öffnet, aber alle RAT-Tools / Botnet-Clients / Ransom-Ware werden derzeit von allen Virenscannern erkannt, sodass es sinnlos wäre, sie zu brennen. P. >



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 4.0-Lizenz, unter der er vertrieben wird.
Loading...