it-swarm.com.de

Warum sollte ein Angreifer jemals auf einem Zero-Day-Exploit sitzen wollen?

Ich versuche zu verstehen, warum ein Angreifer warten möchte, um einen Zero-Day-Exploit zu verwenden.

Ich habe gelesen, dass ein Angreifer den Zero-Day nicht verschwenden möchte, weil die Beschaffung in der Regel in erster Linie sehr teuer ist, aber mir ist nicht klar, was hier unter „Verschwendung“ zu verstehen ist. Zero-Days können von der Community (z. B. Sicherheitsforschern) entdeckt werden, was sie unbrauchbar machen würde. In diesem Sinne wurde der Zero-Day durch die Untätigkeit des Angreifers verschwendet. Besteht das Risiko, dass der Zero-Day-Exploit zu früh verwendet wird? Es scheint, dass ein Angreifer die Wahrscheinlichkeit, dass der Zero-Day entdeckt wird, minimieren und ihn so schnell wie möglich nutzen möchte.

Frage : Welche Faktoren würden den Angreifer veranlassen, auf die Verwendung eines Zero-Day-Exploits zu warten?

94
jonem

Es ist wahrscheinlicher, dass Sie einen 0-Tag verbrennen, wenn Sie ihn verwenden, als wenn Sie darauf sitzen.

Es gibt eine gute Balance zwischen dem Sitzen an einem Tag, der so lange dauert, dass er von jemand anderem entdeckt und gepatcht wird, und dem zu frühen und unnötigen Verwenden Brennen . Die Waage tendiert dazu, länger zu warten, da ein guter Tag so dunkel sein wird, dass er nicht schnell gefunden wird. Das größte Risiko besteht in diesem Fall nicht in der Entdeckung, sondern in der Veralterung, wenn der anfällige Code aus völlig unabhängigen Gründen neu geschrieben oder entfernt wird und der 0-Tage-Exploit nicht mehr funktioniert.

Meistens benötigt ein Angreifer jedoch einfach nicht muss, um es zu verwenden. Wenn ich einen wertvollen Exploit zur Eskalation lokaler Linux-Berechtigungen habe, warum sollte ich ihn verwenden, wenn mir ein wenig zusätzliche Aufklärung sagt, dass ich einen alten Exploit gegen einen nicht ordnungsgemäß gepatchten privilegierten Daemon verwenden kann? Besser im Regentag-Fonds aufbewahren.

Es gibt einige andere Gründe, warum 0 Tage für lange Zeiträume aufbewahrt werden können:

  1. Einige Leute horten einfach 0 Tage dafür. Das ist nur allzu häufig.

  2. Vielleicht hast du dir den Tag von jemandem geliehen. In diesem Fall würde das Verbrennen ihn verärgern.

  3. Manchmal sitzt ein 0-Tage-Broker auf ihnen und wartet auf den richtigen Kunden.

  4. Der 0-Tag kann für sich genommen nutzlos sein und muss mit anderen Exploits verkettet werden, um zu funktionieren.

Bei BH US wurden einige interessante Forschungsergebnisse vorgestellt, die die Lebensdauer von 0 Tagen analysierten.

159
forest
  1. Der 0-Tag hängt davon ab, ob eine andere Sicherheitsanfälligkeit entdeckt wurde, um effektiv genutzt zu werden. Beispielsweise können Sie keine Berechtigungseskalation verwenden, wenn Sie überhaupt keine Codeausführung haben. Dies kann auch andersherum funktionieren, wenn Sie möchten, dass ein weiterer 0-Tag nach dem aktuellen verkettet wird.

  2. Der Angreifer hat kein würdiges Ziel, auf das er es anwenden kann. Ich werde auch darauf hinweisen, dass der Angreifer möglicherweise nicht alles auf einmal ausnutzt, denn wenn der 0-Tag herausgefunden wird, können Sie ihn in Zukunft nicht mehr verwenden. Was Sie hacken möchten, existiert möglicherweise nicht einmal, wenn Sie den 0-Tag finden.

  3. Das Ausnutzen des 0-Tages ist möglicherweise illegal. Die Leute können immer noch Geld damit verdienen, indem sie es an den Meistbietenden verkaufen (dazu gehört auch das Aushandeln des Geldes, das Sie aus einem Bug-Bounty-Programm erhalten).

42
Anon

Weil die alten Wege die besten sind. Warum einen teuren 0-Tag sprengen, wenn Sie nur einen süßen SMBv1-Angriff oder SQLi verwenden können, der das gleiche Ergebnis liefert? Die Verwendung eines 0-Tages kann dazu führen, dass eine forensische Antwort den Wert verringert und die Anzahl der Ziele eliminiert, gegen die sie wirksam ist.

27
McMatty

Aus Sicht des Angreifers ist ein Zero-Day-Exploit eine wertvolle Ressource, da er nicht öffentlich bekannt ist. Dies gibt dem Angreifer das Überraschungselement, wenn er tatsächlich eingesetzt wird, da das Ziel nicht in der Lage ist, sich proaktiv dagegen zu verteidigen.

Jedes Mal, wenn ein Zero-Day verwendet wird, besteht die Möglichkeit, dass er vom Ziel entdeckt und die Sicherheitsanfälligkeit vom Softwareanbieter behoben wird. Sobald die Sicherheitsanfälligkeit geschlossen ist, wird der Nutzen des Exploits stark reduziert und auf Ziele beschränkt, die die Software nicht aktualisiert haben. Dies ist bekannt als "Brennen" der Exploit.

Da das Ziel der meisten Angreifer heutzutage darin besteht, direkt oder indirekt Geld zu verdienen (z. B. indem persönliche Informationen vom Ziel gestohlen und zur Begehung von Identitätsbetrug verwendet werden), haben Zero-Day-Exploits einen wirtschaftlichen Wert. Der Exploit verliert seinen Wert, wenn er gebrannt und unwirksam gemacht wird. Im Wesentlichen ist ein Zero-Day eine wertvolle und entbehrliche Waffe, die für den Einsatz gegen hochwertige Ziele aufbewahrt werden sollte, die nicht durch öffentlich bekannte Sicherheitslücken ausgenutzt werden können.

Dies bedeutet beispielsweise, dass ein Angreifer, der auf ein System abzielt, auf dem eine ältere Version einer bestimmten Software mit bekannten Sicherheitslücken ausgeführt wird, einen vorhandenen, öffentlich verfügbaren Exploit verwenden möchte, anstatt den Zero-Day-Exploit zu verwenden, und das Risiko eingeht, ihn zu verbrennen. Warum eine wertvolle Ressource verschwenden, wenn Sie die Arbeit mit einer kostengünstigeren Lösung erledigen können?

21
bwDraco

Vielleicht wartet ein Angreifer mit einem 0-Tag auf eine gute Gelegenheit.

Die meisten Ziele haben ihre Höhen und Tiefen. Wenn das Ziel darin besteht, das Chaos zu zerstören und so viele Schäden wie möglich zu verursachen, ist es möglicherweise nicht die beste Idee, einen 0-Tag unmittelbar nach dem Aufdecken zu verwenden.

Einige Ziele haben eingefrorene Perioden, in denen ihnen Arbeitskräfte fehlen und sie ihre kritischen Umgebungen nicht berühren dürfen. Einige andere haben kritische Zeiträume, um ein neues Produkt auf den Markt zu bringen oder einen besonders sensiblen Datensatz zu verarbeiten.

Wenn Sie die vor einem solchen Ereignis gefundene Sicherheitsanfälligkeit ausnutzen, besteht das Risiko, dass sie entdeckt wird, bevor sie auftritt. Und so verliert der Angreifer die Gelegenheit, ziemlich hart zu treffen.

Sollte er warten, bis er genug über ein Ziel weiß, um genau zu treffen, wo und was noch wichtiger ist, wenn es weh tut, und es wird ein Jackpot.

Im Jahr 2017 gab es eine Crypto-Ransomware-Kampagne, die sich an Unternehmen während der Mittagspause richtete.

Das hat gut funktioniert, die Leute haben ihre Computer abgeschlossen, gehen irgendwohin, um etwas zu essen, und als alle um 14 Uhr in ihr Büro zurückkehren, war alles bereits verschlüsselt. Niemand war da, um die Alarmglocke zu läuten.

Wenden Sie diesen Angriff nun kurz vor einer wichtigen Vorstandssitzung am Ende des Geschäftsjahres oder während einer Phase medialer Aufmerksamkeit für das Ziel an. Es könnte das Image dieses Ziels schwer beschädigen und Millionen, wenn nicht Milliarden kosten. Während eines Angriffs an einem anderen Punkt wird dies möglicherweise überhaupt nicht bemerkt.

12
Kaël

Wenn Sie einen Computer infizieren und einen 0-Tage-Exploit verwenden, bleiben häufig Beweise dafür zurück, wie Sie hineingekommen sind. Es ist ungefähr so ​​schwierig, zu verhindern, dass Sie Beweise hinterlassen, wie Software, die keine Exploits enthält. so gut wie unmöglich.

Viele Computersysteme werden nicht regelmäßig gepatcht. Auf einem solchen System bringt Sie ein alter Exploit normalerweise in Ordnung. Dieser Exploit, der entdeckt wird, macht nicht viel. Ich meine, wenn Sie 20% der Computer im Internet mit einem bestimmten Exploit übernommen haben, werden Sie möglicherweise einen Anstieg der Patch-Raten feststellen. Aber du könntest nicht.

Ein 0-Tage-Exploit kann dagegen verwendet werden, um in sicherheitsbewusste Ziele einzudringen. Wenn Sie sich für das spezifische Ziel interessieren und es sicher arbeitet, werden Sie durch den 0-Tage-Exploit möglicherweise trotzdem dazu gebracht.

Ihr Angriff kann jedoch bemerkt werden. Und sobald sie bemerkt werden, könnten sie Ihren Exploit ausarbeiten. Und sobald sie Ihren Exploit ausgearbeitet haben, können sie ihn mit dem Anbieter teilen, der ihn möglicherweise patcht. oder sie hacken selbst einen Patch.

Und jetzt hat Ihr 0-Tage-Exploit Patches veröffentlicht, und jedes sicherheitsbewusste System auf dem Planeten blockiert seine Verwendung. Wenn Sie also morgen wirklich irgendwo in einen sicheren Server einbrechen möchten, benötigen Sie verschiedene und neue ausnutzen. Du hast deinen Exploit verbrannt.

Nicht jede Verwendung Ihres Exploits wird bemerkt, und nicht jede Benachrichtigung wird zu einem Patch führen, aber jede Verwendung erhöht die Wahrscheinlichkeit, dass ein Patch ankommt, der Ihren Exploit bricht.

Wir können dies anhand einiger Beispiele für staatlich gefördertes Computer-Hacking veranschaulichen. Stuxnet verwendete vier Zero-Day-Fehler (gegen die es keine Sicherheit gab). Seine Entdeckung führte dazu, dass alle 4 gepatcht wurden, was ihre Nützlichkeit in der Zukunft "verbrannte". Im Gegenzug brach ein Haufen teurer Zentrifugen im Iran und verlangsamte die iranische Atomforschung.

Es hat die Aufgabe mehrerer Marschflugkörper mit weitaus weniger diplomatischen, humanitären und militärischen Risiken erfüllt.

6
Yakk

Ein weiterer Grund ist, dass sie es momentan nicht (optimal) nutzen können. Beispiele sind:

  • Sie haben möglicherweise ein bestimmtes Ziel wie einen Diplomaten im Sinn, aber der Exploit muss sich im selben Ethernet-/WiFi-Netzwerk oder physischen Zugriff befinden. Sie müssen also warten, bis diese Bedingung erfüllt ist, oder sie so arrangieren, dass die Bedingung erfüllt ist.

  • Sie haben noch nicht genug Informationen über das Ziel. Zum Beispiel müssen sie herausfinden, auf welchem ​​Server die interessanten Informationen gehostet werden. Wenn sie den Exploit kurz vor dem Auffinden der Dateien verwenden, ist es wahrscheinlicher, dass sie erkannt werden und der Exploit gebrannt wird.

  • Sie verfügen derzeit nicht über die Ressourcen/Arbeitskräfte, um den Angriff zu starten, da sie derzeit mit einem anderen Ziel beschäftigt sind oder die Mitarbeiter ihrer Abteilung zum Starten der Angriffe derzeit krank sind (selbst böse Jungs werden krank).

  • Ihnen fehlen andere Werkzeuge, die für eine effektive Nutzung erforderlich sind. Sie haben möglicherweise einen E-Mail-Exploit, um ihren Code auszuführen, wenn das Opfer die E-Mail öffnet, aber alle ihre RAT-Tools/Botnet-Clients/Lösegeld-Software werden derzeit von allen Virenscannern erkannt, sodass es nutzlos wäre, sie zu brennen.

5
H. Idden