友情链接:www.mosesceo.com English|联系我们
400-556-776

黑客词库:何谓“零日攻击”
2014-12-15 10:03:04 来源:WIRED 作者:KIM ZETTER
更多

       零日漏洞是指存在于诸如浏览器或操作系统软件中,尚未被软件制造商或杀毒软件商察觉的安全漏洞。这意味着,这些漏洞虽然尚未公开,但可能已被攻击者发现并偷偷地加以利用。虽然有时杀毒软件的启发式模式(行为跟踪算法,能对可疑或恶意行为进行定位)也能检测到一起零日攻击,但由于此时软件制造商和杀毒软件商不知道漏洞的存在,还没有合适的补丁对其进行修复,通常也不会有针对性的病毒签名认证对漏洞利用进行检测。

       零日漏洞利用是指攻击者利用零日漏洞发起攻击的代码。他们用该利用代码潜入软件内部,在电脑或设备中植入病毒、木马或其他恶意软件。这和小偷通过破碎或没关好的窗户登堂入室的行为类似。

零日攻击
零日攻击实际上指代两种事物——零日漏洞或零日漏洞利用

       “零日”是指从漏洞被发现到软件商得知时的天数。这个词最初出现在网络论坛上,指一款新软件程序公开的天数。人们称那些尚未公开,但却已被黑客盯上、希望最先获取的软件为“零日软件”。

       零日漏洞和利用代码不仅对犯罪黑客而言,具有极高的利用价值,一些国家间谍和网军部队,例如NSA(美国国家安全局)和美国网络司令部也非常重视这些信息。

       零日漏洞曾经非常少见。数以百万计的安全公司每月检测并进行处理的恶意软件中,只能发现一到两个零日漏洞利用代码。而如今,越来越多的零日漏洞被人们利用和发现。从很大程度上来说,这是由于政府情报机构需求的驱使,导致了零日漏洞和漏洞利用代码交易市场的壮大。

       零日漏洞交易市场活动着三个群体:犯罪黑客交易侵入系统、盗取密码和信用卡号的漏洞利用代码和漏洞信息的黑市;充斥着漏洞悬赏活动的“白色市场”,研究人员和黑客在这里把漏洞信息提供给供应商,可获得相应的赏金,同时漏洞也得以修复——在这个市场活动的还有安全公司,他们购买零日漏洞利用来进行渗透测试,以确定客户系统是否易受攻击;“灰色市场”,这里面很多研究人员和公司都是军用网络的承包商,他们将零日漏洞利用代码和漏洞信息卖给军方、情报机构和执法机构,后者可通过这些信息实施监管和计算机进攻行为。

       一些著名的通过零日漏洞利用发起的攻击有:

       Stuxnet——目标锁定位于伊朗纳坦兹的铀浓缩工厂计算机的病毒/蠕虫,将五段零日漏洞利用代码分散植入系统,并获取了特许存取权限。其中一个漏洞在攻击者发动攻击前被微软进行了修复,因此从技术上来讲,Stuxnet被发现时,它只使用了四段零日漏洞利用代码。

Stuxnet病毒部分源码
Stuxnet病毒部分源码

       极光行动(又称欧若拉行动)——在2010年,一批据称源自中国的黑客,通过一个存在于多版本IE浏览器上的零日漏洞,入侵了谷歌、奥多比和其它十多家公司。这些攻击者至少取得了谷歌的部分源代码,目的可能是对其进行研究,以及从中发现更多零日漏洞供后期使用。攻击者背后的团队现在仍然活跃,且自该事件后,又被发现至少使用了八次其它的零日漏洞利用代码。

       RSA黑客——被认为和攻击谷歌公司的黑客是同一批人,通过一段奥多比Flash播放器中的零日漏洞利用代码,对网络安全公司的工作人员进行鱼叉式钓鱼攻击。攻击者成功窃取了公司SecurID二元认证产品的相关信息。

       零日漏洞的价格可以达到很高——5000美元到几十万美元不等——这依赖于几个因素。在多个Windows操作系统版本中都存在的漏洞要比在软件的一个版本中存在的更有价值。然而,因苹果系统比其它手机系统更难攻破,锁定苹果iOS系统的漏洞会更值钱。那些绕过嵌入式安全技术(例如植入到浏览器的沙盒技术,可阻止恶意软件通过浏览器入侵进而感染整个操作系统)的漏洞利用,仍能将锁定标准浏览器漏洞的利用代码带到系统中去。

       自2010年Stuxnet事件后,关于美国政府使用零日漏洞攻击的争议就一直持续不断,而随后爱德华·斯诺登披露的政府黑客行为更让这场争议愈演愈烈。今年早些时候,白宫宣布了一项新政策,指出国安局将公开其发现的部分软件零日漏洞,确保其获得修复,但那些有“明显的国家安全或执法需要”的例外,将仍被保密并可能被利用。

注:黑客词库是《连线》网站推出的解说系列,罗列出与信息安全、监管和隐私相关的行业术语,并用通俗的语言对其进行解释。

返回顶部
上一篇:黑客词库:何谓物理隔离(Air Gap.. 下一篇:“Dragonfly”恶意软件锁定ICS系统