Domanda:
Perché un utente malintenzionato dovrebbe mai voler sedersi su un exploit zero-day?
jonem
2018-12-03 06:33:25 UTC
view on stackexchange narkive permalink

Sto cercando di capire perché un utente malintenzionato dovrebbe attendere prima di utilizzare un exploit zero-day.

Ho letto che un utente malintenzionato non vuole sprecare gli zero-day perché in genere sono molto costosi da ottenere in primo luogo, ma non mi è chiaro cosa si intenda per "spreco" qui . I giorni zero possono essere scoperti dalla comunità (ad es. Ricercatori sulla sicurezza), il che lo renderebbe inutile. In questo senso, lo zero-day è stato sprecato dall'inazione dell'attaccante. C'è un rischio se si utilizza l'exploit zero-day troppo presto? Sembra che un utente malintenzionato voglia ridurre al minimo le possibilità di scoperta dello zero-day e quindi utilizzarlo il più rapidamente possibile.

Domanda: quali fattori potrebbero indurre l'attaccante ad attendere prima di utilizzare un exploit zero-day?

Oltre ad essere scoperti casualmente da altri due cose possono rovinare un giorno zero.Prima di tutto lo usi e viene rilevato.E in secondo luogo lo vendi, il che aumenta anche la probabilità di divulgazione o rilevamento.Più lo usi o lo condividi, maggiore è il rischio.(Detto questo, può essere molto tempo prima che venga scoperto un giorno zero usato se stai attento)
Un motivo a cui riesco a pensare è che hanno una morale appena sufficiente per non usarlo da soli, ma non abbastanza per impedire loro di venderlo e ottenere il prezzo più alto.
Perché alcuni paesi stanno pagando bene per loro ... Paesi stranieri malvagi, ovviamente, certamente non gli Stati Uniti, perché non siamo un paese straniero ...
@Chloe Alcune persone vendono exploit, ma lo vendono solo ad acquirenti privati e mai ai governi (anche se gli appaltatori del governo pagano prezzi più alti).Questo lo rende molto più etico.
Se ottieni uno sconto del 10% sul tuo prossimo acquisto, preferiresti usarlo domani per la spesa di £ 10 o per la nuova auto da £ 10000 il mese prossimo?
@Harper Ah ah ... Tutti sono estranei a qualcuno ... :-)
"causa l '** attaccante **" - questo è il tuo primo malinteso.Gli aggressori non sono quasi MAI le persone che scoprono gli exploit zero day.Sono persone che vogliono hackerare il computer di altre persone per vari motivi.Gli scopritori di exploit, d'altra parte, sono tipicamente programmatori curiosi di vedere se riescono a rompere un pezzo di software.A volte questi due personaggi possono essere la stessa persona ma in momenti diversi.Nel momento in cui scopro un bug di sicurezza non è quasi mai allo stesso tempo che sono arrabbiato con qualcuno
Se ti dessi una pistola illegale, inizieresti a spararle immediatamente?Allertare la polizia e svuotare il caricatore?No, aspetteresti che arrivi qualcosa a cui vale la pena sparare.
@slebetman In realtà non è sempre vero.Con l'eccezione dei grandi exploit kit come CANVAS e Core Impact, quelli che trovano 0days molto spesso li usano da soli.Infatti tutti quelli che conosco che hanno trovato 0days (che non li ha segnalati) lo hanno usato da soli o lo tengono per proprio uso.
Perché il gran maestro di scacchi americano Frank Marshall ha aspettato diversi anni per svelare il suo pericoloso Marshall Attack nel Ruy Lopez?Voleva un buon obiettivo per questo.Avrebbe potuto usarlo non appena lo avesse scoperto contro giocatori più deboli, ma lo tenne per una partita contro Capablanca (il giocatore più forte del mondo in quel momento).Capablanca ha vinto facilmente, ma questa è un'altra storia.(C'è un dibattito sul fatto che Marshall mantenga o meno il suo segreto di Pulcinella per anni sia apocrifo, ma è una parte standard della tradizione degli scacchi).
Perché i commenti qui vengono utilizzati per fornire analogie?
@forest Hai perso il mio punto sul fatto che l'attaccante e lo scopritore potrebbero essere la stessa persona ma in momenti diversi.Personalmente non sono mai riuscito a trovare un exploit proprio quando ho bisogno di usarne uno e scommetto che è lo stesso per le persone che conosci
@slebetman Ah hai ragione, mi è mancato.Buon punto.
@forest perché le analogie sono (probabilmente) divertenti e potenzialmente illuminanti, ma manifestamente non sono risposte.
@forest Supponi che il tuo commento fosse un biscotto e volessi metterci sopra un po 'di burro ...
Solo i commenti qui forniscono dati sufficienti per tracciare un buon grafico di ciò che farebbero le persone su questo sito.È interessante notare che nessuna persona ha detto che avrebbe passato del tempo a cercare di trovare la persona giusta e onesta da raccontare in modo che potesse essere riparata e non sfruttata.
Sette risposte:
forest
2018-12-03 09:09:40 UTC
view on stackexchange narkive permalink

È più probabile che brucerai uno 0 giorni usandolo piuttosto che sedendoti sopra.

C'è un buon equilibrio tra stare seduto su uno 0 giorni così a lungo scoperto da qualcun altro e patchato, e utilizzandolo troppo presto e inutilmente, masterizzandolo. La bilancia tende a pesare a favore di un'attesa più lunga, poiché un buon 0day sarà abbastanza oscuro da non essere trovato rapidamente. Il rischio più grande in realtà non è la scoperta in quel caso, ma l'obsolescenza quando il codice vulnerabile viene riscritto o rimosso per motivi completamente indipendenti e l'exploit 0day non funziona più.

La maggior parte delle volte, tuttavia , un utente malintenzionato semplicemente non ha bisogno di usarlo. Se ho un prezioso exploit per l'escalation dei privilegi locali di Linux, perché dovrei usarlo quando un po 'di ricognizione extra mi dice che posso usare un vecchio exploit contro un demone privilegiato con una patch impropria? È meglio tenerlo nel fondo dei giorni di pioggia.

Ci sono altri motivi per cui gli 0 giorni possono essere conservati per lunghi periodi:

  1. Alcune persone semplicemente accumulano 0 giorni per il bene di esso. Questo è fin troppo comune.

  2. Forse hai preso in prestito lo 0day da qualcuno, nel qual caso bruciarlo lo farebbe incazzare.

  3. A volte un broker 0day è seduto su di loro in attesa del client giusto.

  4. Lo 0day può essere inutile da solo, e deve essere incatenato con altri exploit per funzionare.

Sono state presentate alcune ricerche interessanti al BH US che hanno analizzato la vita di 0days.

"Lo 0day può essere inutile da solo, perché deve essere incatenato ad altri exploit per funzionare".Questa è una cosa importante.Con i sistemi complessi e stratificati di oggi, compromettere al massimo un obiettivo spesso richiede più di un exploit.(Forse uno 0 giorni, forse un noto, forse un exploit umano, ecc.)
Cosa significa "prendere in prestito" un exploit?
@Oddthinking Qualcuno potrebbe fidarsi abbastanza di te da darti uno 0day che puoi usare in sicurezza (forse solo una volta), a condizione che tu non continui a usarlo.
@Oddthinking - Proprio come stackexchange in cui le persone risolvono i problemi per "divertimento" senza alcun guadagno materiale, le persone che armeggiano con le vulnerabilità del software a volte sentono il bisogno di condividere le loro conoscenze per "divertimento".Non è divertente se non puoi mostrare la tua conoscenza.
Anon
2018-12-03 10:51:37 UTC
view on stackexchange narkive permalink

  1. Il giorno 0 dipende dalla scoperta di un'altra vulnerabilità per essere utilizzata in modo efficace. Ad esempio, non è possibile utilizzare un'escalation dei privilegi se non si ha l'esecuzione del codice in primo luogo. Questo può anche funzionare nell'altro modo in cui vorresti che un altro giorno 0 si concatenasse dopo quello che hai attualmente.

  2. L'autore dell'attacco non ha un obiettivo degno per usarlo sopra. Ti faccio inoltre notare che l'attaccante potrebbe non sfruttare tutto in una volta perché se si scopre il giorno 0 non potrai utilizzarlo in futuro. Quello che vuoi hackerare potrebbe anche non esistere quando trovi il giorno 0.

  3. Sfruttare il giorno 0 potrebbe essere illegale. Le persone possono ancora trarne profitto vendendolo al miglior offerente (questo include negoziare per i soldi che ottieni da un programma di taglie bug)

McMatty
2018-12-03 07:55:52 UTC
view on stackexchange narkive permalink

Perché i vecchi metodi sono i migliori. Perché saltare un costoso 0-day quando puoi semplicemente usare un dolce attacco SMBv1 o SQLi che ti darà lo stesso risultato? L'uso di 0-day può portare alla scoperta da una risposta forense ridurre il valore ed eliminare il numero di obiettivi contro cui sarà efficace.

bwDraco
2018-12-03 09:54:25 UTC
view on stackexchange narkive permalink

Dal punto di vista dell'aggressore, un exploit zero-day è una risorsa preziosa perché non è pubblicamente noto. Ciò fornisce all'aggressore l'elemento sorpresa quando viene effettivamente schierato, poiché il bersaglio non sarà in grado di difendersi in modo proattivo da esso.

Ogni volta che viene utilizzato uno zero-day, c'è la possibilità che lo sia scoperto dal bersaglio e la vulnerabilità corretta dal fornitore del software. Una volta chiusa la vulnerabilità, l'utilità dell'exploit è notevolmente ridotta e limitata agli obiettivi che non hanno aggiornato il software. Questo è noto come "bruciare" l'exploit.

Poiché l'obiettivo della maggior parte degli aggressori oggi è guadagnare denaro direttamente o indirettamente (ad es. Rubando informazioni personali dal bersaglio e utilizzandole commettere frodi sull'identità), gli exploit zero-day hanno un valore economico. L'exploit perde il suo valore se viene bruciato e reso inefficace. In sostanza, uno zero-day è un'arma preziosa e spendibile che dovrebbe essere conservata per essere utilizzata contro obiettivi di alto valore che non possono essere sfruttati attraverso vulnerabilità note pubblicamente.

Ciò significa, ad esempio, che un aggressore prendere di mira un sistema che esegue una versione precedente di un particolare software con vulnerabilità note vorrebbe utilizzare un exploit esistente e pubblicamente disponibile piuttosto che utilizzare l'exploit zero-day e rischiare di bruciarlo. Perché sprecare una risorsa preziosa quando puoi portare a termine il lavoro con una soluzione meno costosa?

Kaël
2018-12-03 19:55:53 UTC
view on stackexchange narkive permalink

Forse un attaccante con 0 giorni sta aspettando una buona opportunità.

La maggior parte dei bersagli hanno i loro alti e bassi. Se l'obiettivo è distruggere il caos e fare quanti più danni possibili, usare uno 0 giorni immediatamente dopo averlo scoperto potrebbe non essere l'idea migliore.

Alcuni obiettivi hanno periodi di congelamento, in cui mancano di manodopera e non devono toccare i loro ambienti critici. Alcuni altri hanno periodi critici per lanciare un nuovo prodotto o per gestire un insieme di dati particolarmente sensibile.

Sfruttare la vulnerabilità che è stata trovata prima di tale evento, significa che c'è il rischio che venga scoperto prima che accada. E così l'attaccante perde l'opportunità di colpire piuttosto forte.

Se deve aspettare fino a quando non sa abbastanza su un obiettivo per colpire esattamente dove e, cosa più importante, quando fa male, sarà il jackpot.

Nel 2017, c'è stata una campagna di crypto ransomware che ha preso di mira le aziende durante l'ora di pranzo.

Funzionava bene, le persone bloccavano i computer, vanno a mangiare da qualche parte e quando tutti tornano in ufficio alle 2 del pomeriggio tutto era già cifrato. Nessuno era lì per suonare il campanello d'allarme.

Ora applica questo attacco appena prima di un'importante riunione del consiglio alla fine dell'anno finanziario, o durante un periodo di attenzione mediatica al bersaglio. Potrebbe danneggiare gravemente l'immagine di questo obiettivo e costare milioni se non miliardi. Durante l'esecuzione di un attacco in un altro punto potrebbe non essere notato affatto.

Yakk
2018-12-05 01:27:22 UTC
view on stackexchange narkive permalink

Quando infetti un computer e utilizzi un exploit 0-day, le prove di come sei entrato spesso vengono lasciate indietro. Impedire a te stesso di lasciare qualsiasi prova è difficile quanto avere un software che non contiene exploit; quasi impossibile.

Molti sistemi informatici non vengono aggiornati regolarmente; su un sistema del genere, un vecchio exploit di solito ti farà entrare bene. Questo exploit scoperto ... non fa molto. Voglio dire, se acquisisci oltre il 20% dei computer su Internet con uno specifico exploit, potresti notare un aumento dei tassi di patch. Ma potresti no.

Un exploit 0-day, d'altra parte, può essere utilizzato per irrompere in obiettivi attenti alla sicurezza. Se ti interessa l'obiettivo specifico e loro lavorano per essere sicuri, l'exploit 0-day potrebbe comunque farti entrare.

Il tuo attacco, tuttavia, potrebbe essere notato. E una volta notato, potrebbero risolvere il tuo exploit. E una volta risolto il tuo exploit, potrebbero condividerlo con il venditore, che potrebbe correggerlo; oppure potrebbero hackerare una patch da soli.

E ora, il tuo exploit 0-day ha le patch pubblicate e ogni sistema attento alla sicurezza del pianeta ne blocca l'uso. Quindi domani, quando vuoi davvero entrare in un server sicuro da qualche parte, avrai bisogno di un exploit diverso e nuovo . Hai bruciato il tuo exploit.

Non tutti gli usi del tuo exploit verranno notati e non tutti gli avvisi risulteranno in una patch, ma ogni utilizzo aumenta le possibilità che arrivi una patch che rompe il tuo exploit.

Possiamo illustrarlo con alcuni esempi di pirateria informatica sponsorizzata dallo stato. Stuxnet utilizzava quattro difetti del giorno zero (contro i quali non c'era sicurezza). La sua scoperta ha portato a tutte e 4 le patch, "bruciando" la loro utilità in futuro. In cambio, un mucchio di costose centrifughe in Iran si è rotto, rallentando la ricerca nucleare iraniana.

Ha svolto il lavoro di più missili da crociera, con rischi diplomatici, umanitari e militari molto meno.

H. Idden
2018-12-04 01:27:29 UTC
view on stackexchange narkive permalink

Un altro motivo è che al momento non possono usarlo (in modo ottimale). Gli esempi sono:

  • Potrebbero avere in mente un obiettivo specifico come un diplomatico, ma l'exploit richiede di trovarsi nella stessa rete Ethernet / WiFi o accesso fisico. Quindi devono aspettare fino a quando questa condizione è soddisfatta o sistemarla in modo che la condizione sia soddisfatta.

  • Non hanno ancora informazioni sufficienti sul target. Ad esempio, hanno bisogno di scoprire un modo su quale server sono ospitate le informazioni interessanti. Se usano l'exploit poco prima di trovare i file, è probabile che vengano rilevati e che l'exploit venga bruciato.

  • Al momento non hanno le risorse / manodopera per lanciare l'attacco perché sono attualmente occupati da un altro bersaglio o i dipendenti del loro dipartimento per lanciare gli attacchi sono attualmente malati (anche i cattivi si ammalano).

  • Mancano di altri strumenti necessari per un uso efficace. Potrebbero avere un exploit e-mail per eseguire il loro codice quando la vittima apre la posta, ma tutti i loro strumenti RAT / botnet-client / ransomware sono attualmente rilevati da tutti gli scanner antivirus, quindi sarebbe inutile masterizzarli.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 4.0 con cui è distribuito.
Loading...