攻撃者がゼロデイエクスプロイトの使用を待つ理由を理解しようとしています。
通常、そもそもゼロデイを入手するのは非常に高価であるため、攻撃者はゼロデイを無駄にしたくないと読んだことがありますが、ここで「無駄」が何を意味するのかはわかりません。ゼロデイは、コミュニティ(セキュリティ研究者など)によって発見され、役に立たなくなる可能性があります。この意味で、攻撃者の不作為によりゼロデイは無駄になっています。ゼロデイエクスプロイトをすぐに使用することによるリスクはありますか?攻撃者は、ゼロデイが発見される可能性を最小限に抑え、それを可能な限り迅速に使用することを望んでいるようです。
質問:攻撃者がゼロデイエクスプロイトを使用するのを待機させる要因は何ですか?
それを使用することで、座っているよりも0dayを燃やす可能性が高くなります。
0dayが他の誰かに発見されてパッチが適用されるほど長い間座っていることと、あまりにも早くそして不必要にそれを使用することには微妙なバランスがあります burning it 。良い0dayはあいまいになり、すぐに見つけられないため、バランスが長くなる傾向があります。最大のリスクは、実際にはその場合の発見ではありませんが、脆弱なコードが完全に無関係な理由で書き換えられたり削除されたりすると、陳腐化し、0dayエクスプロイトは機能しなくなります。
ただし、ほとんどの場合、攻撃者はそれを使用する必要はありません。貴重なLinuxローカル権限エスカレーションエクスプロイトがある場合、不適切なパッチが適用された特権デーモンに対して古いエクスプロイトを使用できると少し余分な偵察で示されたのに、なぜそれを使用するのですか?雨の日の基金でそれを維持することをお勧めします。
0daysが長期間保持される可能性がある他のいくつかの理由があります:
一部の人々は単にそれのために0daysを買いだめします。これはあまりにも一般的です。
多分あなたは誰かから0dayを借りました、その場合それを燃やすことは彼らを怒らせるでしょう。
時には、適切なクライアントを待つ間、0dayブローカーが彼らの上に座っています。
0dayはそれだけでは役に立たない可能性があり、他のエクスプロイトと連携して動作する必要があります。
BH USで発表された 興味深い研究 があり、0daysの寿命を分析しました。
0日は、効果的に使用されることが発見されている別の脆弱性に依存します。たとえば、最初にコードを実行していない場合は、特権の昇格を使用できません。これは、現在持っているものの後にもう1日0チェーンしたいという別の方法でも機能します。
攻撃者はそれを使用するに値するターゲットを持っていません。また、攻撃者がすべてを一度に利用できるとは限らないことも指摘しておきます。なぜなら、0日が判明した場合、将来、それを使用できなくなるからです。ハッキングしたいものが、0日を見つけたときに存在しない場合もあります。
0日を悪用することは違法となる場合があります。人々はそれを最高の入札者に売ることによってそれからお金をもうけることができます(これはあなたがバグ報奨金プログラムから得るお金のために交渉することを含みます)
古い方法が最善だからです。甘いSMBv1攻撃またはSQLiを使用して同じ結果を得ることができるのに、なぜ高価なゼロデイを吹き飛ばすのですか? 0-dayを使用すると、フォレンジック応答から発見され、価値が減少し、効果的なターゲットの数が削減されます。
攻撃者の観点からすると、ゼロデイエクスプロイトは公開されていないため、貴重なリソースです。これは、ターゲットがプロアクティブに防御できないため、実際にデプロイされたときに攻撃者に驚きの要素を与えます。
ゼロデイを使用するたびに、それがターゲットとソフトウェアベンダーによってパッチされた脆弱性によって発見される可能性があります。脆弱性が閉じられると、エクスプロイトの有用性は大幅に減少し、ソフトウェアを更新していないターゲットに限定されます。これは "burning" の悪用として知られています。
今日のほとんどの攻撃者の目標は直接的または間接的に金銭を獲得することです(たとえば、ターゲットから個人情報を盗み、それを使用してID詐欺を実行することにより)、ゼロデイエクスプロイトには経済的価値があります。悪用されて無効にされると、エクスプロイトはその価値を失います。本質的に、ゼロデイは貴重で使い捨ての武器であり、既知の脆弱性を介して悪用できない高価値の標的に対して使用するために保存する必要があります。
これは、たとえば、既知の脆弱性を持つ特定のソフトウェアの古いバージョンを実行しているシステムを標的とする攻撃者は、ゼロデイエクスプロイトを使用するのではなく、既存の公開されているエクスプロイトを使用し、それを燃やす危険性があることを意味します。安価なソリューションで仕事ができるのに、なぜ貴重なリソースを無駄にするのでしょうか。
たぶん、0dayの攻撃者は、良い機会を待っています。
ほとんどのターゲットには高低があります。破壊を破壊し、できるだけ多くの損傷を与えることが目標である場合、発見した直後に0dayを使用することは最善のアイデアではない可能性があります。
一部のターゲットは期間が固定されており、人材が不足していて、重要な環境に触れてはなりません。他のいくつかは、新製品を発売するか、特に機密性の高いデータのセットを処理するための重要な期間を持っています。
そのようなイベントの前に発見された脆弱性を悪用することは、それが発生する前に発見されるリスクがあることを意味します。そのため、攻撃者はかなり強く攻撃する機会を失います。
ターゲットが痛むときに正確にどこで、そしてもっと重要なことにストライキするのに十分なターゲットを知るまで待つべきであり、それはジャックポットになります。
2017年には、ランチタイムに会社を標的とした暗号化ランサムウェアキャンペーンがありました。
それはうまくいき、人々は自分のコンピュータをロックし、どこかに食べに行き、そして誰もが午後2時にオフィスに戻ると、すべてがすでに暗号化されていました。警報ベルを鳴らす人はいなかった。
今度は、会計年度の終わりの重要な理事会の直前、またはターゲットに対するメディアの注目の期間中に、この攻撃を適用します。それはこのターゲットのイメージに深刻なダメージを与え、数十億とは言わないまでも数百万のコストがかかる可能性があります。他の時点で攻撃を実行している間は、まったく気付かない場合があります。
コンピューターに感染してゼロデイエクスプロイトを使用すると、侵入した方法の証拠が残されることがよくあります。証拠を残さないようにすることは、エクスプロイトが含まれていないソフトウェアをインストールするのと同じくらい難しいことです。不可能に近い。
多くのコンピューターシステムは定期的にパッチが適用されていません。そのようなシステムでは、古いエクスプロイトが通常はうまく機能します。このエクスプロイトは発見されましたが、あまり効果がありません。つまり、特定のエクスプロイトを使用してインターネット上のコンピューターの20%以上を取得した場合、パッチ率の増加に気付く可能性があります。しかし、そうではないかもしれません。
一方、ゼロデイエクスプロイトは、セキュリティを意識したターゲットに侵入するために使用できます。 specificターゲットに関心があり、それらが安全に機能している場合、0日間のエクスプロイトが依然として侵入する可能性があります。
ただし、攻撃に気づく場合があります。そして気づいたら、彼らはあなたのエクスプロイトを解決するかもしれません。そして、彼らがあなたのエクスプロイトを解決したら、彼らはそれをパッチを当てるベンダーと共有することができます。または、パッチを自分でハッキングする可能性があります。
そして今、あなたのゼロデイエクスプロイトにはパッチが公開されており、地球上のすべてのセキュリティを意識したシステムがその使用をブロックしています。明日、本当に安全なサーバーに侵入したい場合は、differentとnewエクスプロイト。あなたはあなたのエクスプロイトを焼きました。
エクスプロイトのすべての使用が通知されるわけではなく、すべての通知がパッチにつながるわけではありませんが、使用するたびに、エクスプロイトを破壊するパッチが届く可能性が高くなります。
これを、国が支援するコンピューターハッキングのいくつかの例で説明できます。 Stuxnetはfourゼロデイの欠陥を使用しました(それに対するセキュリティはありませんでした)。その発見により、4つすべてにパッチが適用され、将来的にそれらの有用性が「燃やされ」ました。その代わりに、イランの高価な遠心分離機の山が壊れ、イランの核研究が遅れた。
それは外交、人道、軍事のリスクがはるかに少ない複数の巡航ミサイルの仕事をしました。
もう1つの理由は、現時点では(最適に)使用できないことです。次に例を示します。
彼らは外交官のような特定のターゲットを念頭に置いているかもしれませんが、エクスプロイトは同じイーサネット// WiFiネットワークまたは物理的アクセスに存在する必要があります。したがって、この条件が満たされるまで待つか、条件が満たされるように調整する必要があります。
彼らはまだターゲットに関する十分な情報を持っていません。たとえば、興味深い情報がホストされているサーバー上の方法を見つける必要があります。ファイルを見つける直前にエクスプロイトを使用すると、ファイルが検出されてエクスプロイトが焼き付けられる可能性が高くなります。
彼らは現在、別の標的で占められているか、攻撃を仕掛けるために部署の従業員が現在病気である(悪者でさえ病気になる)ため、攻撃を仕掛けるためのリソース/マンパワーを持っていません。
効果的に使用するために必要な他のツールが不足しています。被害者がメールを開いたときにコードを実行する電子メールエクスプロイトが含まれている可能性がありますが、すべてのRAT-tools/botnet-clients/ransom-wareは現在すべてのウイルススキャナーによって検出されているため、それを書き込むのは無意味です。