Soru:
Bir saldırgan neden sıfır gün istismarına girmek ister ki?
jonem
2018-12-03 06:33:25 UTC
view on stackexchange narkive permalink

Bir saldırganın neden sıfır gün açıklarından yararlanmayı beklemek isteyeceğini anlamaya çalışıyorum.

Bir saldırganın sıfır günü boşa harcamak istemediğini okudum çünkü ilk başta elde etmek genellikle çok pahalı, ancak burada "israf" ile ne kastedildiği bana açık değil . Sıfır günler, topluluk tarafından keşfedilebilir (örneğin güvenlik araştırmacıları), bu da onu işe yaramaz hale getirir. Bu anlamda sıfır gün, saldırganın hareketsizliği ile boşa gitmiştir. Sıfır gün istismarını çok erken kullanmanın bir riski var mı? Görünüşe göre bir saldırgan, sıfırıncı günün keşfedilme şansını en aza indirmek ve böylece onu olabildiğince çabuk kullanmak isteyecektir.

Soru: Saldırganın sıfırıncı gün istismarını kullanmak için beklemesine hangi faktörler neden olur?

Başkaları tarafından rastgele keşfedilmesinin yanı sıra iki şey sıfır günü bozabilir.Öncelikle onu kullanırsınız ve algılanır.Ve ikinci olarak, onu satarsınız, bu da ifşa veya tespit olasılığını artırır.Ne kadar çok kullanırsanız veya paylaşırsanız, risk o kadar büyük olur.(Bununla birlikte, dikkatli olursanız kullanılmış bir sıfır gün keşfedilene kadar uzun bir zaman geçebileceği söyleniyor)
Aklıma gelen bir neden, kendi başlarına kullanmayacak kadar ahlaki değerlere sahip olmaları, ancak onları satmalarını ve en yüksek fiyatı almalarını engelleyecek kadar da değil.
Çünkü bazı ülkeler onlara iyi para ödüyor ... Kötü yabancı ülkeler, tabii ki ABD değil, çünkü biz yabancı bir ülke değiliz ...
@Chloe Bazı insanlar istismarları satarlar, ancak bunu yalnızca özel alıcılara satmazlar ve asla hükümetlere satmazlar (devlet müteahhitlerinin daha yüksek fiyatlar ödemesine rağmen).Bu onu çok daha etik hale getirir.
Bir sonraki alışverişinizde% 10 indirim alırsanız, yarınki 10 sterlinlik market alışverişinde mi yoksa gelecek ayki 10000 sterlinlik yeni arabada mı kullanmayı tercih edersiniz?
@Harper Ha ha ... Herkes birine yabancıdır ... :-)
"saldırgana neden olmak **" - bu sizin ilk yanlış anlamanızdır.Saldırganlar neredeyse HİÇBİR ZAMAN sıfır gün istismarlarını keşfeden insanlar değildir.Çeşitli nedenlerle başkalarının bilgisayarını hacklemek isteyen insanlardır.Öte yandan, istismarları keşfedenler, genellikle bir yazılım parçasını kırıp kıramayacaklarını merak eden kodlayıcılardır.Bazen bu iki kişi aynı kişi olabilir, ancak zaman içinde farklı noktalarda olabilir.Bir güvenlik hatasını keşfettiğim an neredeyse hiçbir zaman aynı anda birine kızgınım
Sana yasadışı bir silah verseydim, hemen ateş etmeye başlar mısın?Polisleri uyarmak ve şarjörü boşaltmak mı?Hayır, ateş etmeye değer bir şeyin gelmesini beklersin.
@slebetman Bu aslında her zaman doğru değildir.CANVAS ve Core Impact gibi büyük istismar kitleri dışında, 0days bulanlar çok sık kendileri kullanıyorlar.Aslında, 0days bulan tanıdığım herkes (onları rapor etmeyen) kendileri kullandı veya kendi kullanımları için saklıyor.
Amerikalı satranç büyükustası Frank Marshall, tehlikeli Marshall Saldırısını Ruy Lopez'de açıklamak için neden birkaç yıl bekledi?Bunun için iyi bir hedef istedi.Bunu daha zayıf oyunculara karşı keşfettiği anda kullanabilirdi, ancak Capablanca'ya (o zamanlar dünyanın en güçlü oyuncusu) karşı bir oyun için saklayabilirdi.Capablanca kolayca kazandı ama bu başka bir hikaye.(Marshall'ın yıllarca sırrını açık tutup tutmadığına dair bir tartışma var, ancak bu standart bir satranç bilgisidir).
Neden buradaki yorumların tümü analoji sağlamak için kullanılıyor?
@forest Saldırganla ilgili fikrimi kaçırdınız ve keşfeden aynı kişi olabilir, ancak farklı zamanlarda.Şahsen hiçbir zaman bir istismar bulmayı doğru bir şekilde kullanmam gerektiğinde bulamadım ve bahse girerim tanıdığınız insanlar için de aynıdır
@slebetman Ah haklısın, bunu kaçırdım.İyi bir nokta.
@forest çünkü analojiler (tartışmalı olarak) eğlenceli ve potansiyel olarak aydınlatıcıdır, ancak açıkça cevaplar değildir.
@forest Yorumunuzun bir bisküvi olduğunu ve üzerine biraz tereyağı sürmek istediğinizi varsayalım ...
Buradaki yorumlar, bu sitedeki insanların ne yapacağına dair iyi bir grafik çizmek için yeterli veri sağlar.İlginç bir şekilde, tek bir kişi, söylenecek doğru dürüst kişiyi bulmaya çalışmakla zaman harcayacağını söylemedi, böylece düzeltilebilir ve istismar edilmeyebilir.
Yedi yanıtlar:
forest
2018-12-03 09:09:40 UTC
view on stackexchange narkive permalink

Üzerinde oturmaktansa 0 günü onu kullanarak yakmanız daha olasıdır.

0 günde o kadar uzun süre oturmak arasında ince bir denge vardır ki, başka biri tarafından keşfedilip yama uygulandı ve çok erken ve gereksiz yere kullanılarak yakılıyor. İyi bir 0 gün, hızlı bir şekilde bulunamayacak kadar belirsiz olacağından, denge daha uzun süre beklemek lehine ağırlık verme eğilimindedir. Aslında en büyük risk bu durumda keşif değil, savunmasız kod tamamen ilgisiz nedenlerle yeniden yazıldığında veya kaldırıldığında eskimiş oluyor ve 0day istismarı artık işe yaramıyor.

Ancak çoğu zaman , bir saldırganın onu kullanmaya ihtiyacı yoktur. Değerli bir Linux yerel ayrıcalık yükseltme istismarına sahipsem, biraz fazladan keşif bana eski bir istismarı uygunsuz bir şekilde yamalanmış ayrıcalıklı bir artalan sürecine karşı kullanabileceğimi söylediğinde neden kullanayım? Onu yağmurlu günler fonunda tutmak daha iyidir.

Uzun süre 0 günün tutulmasının başka birkaç nedeni daha vardır:

  1. Bazı insanlar sadece 0 günlerini uğruna. Bunların hepsi çok yaygın.

  2. Belki birinden 0 günü ödünç almışsınızdır, bu durumda onu yakmak onları sinirlendirir.

  3. Bazen bir 0day komisyoncusu doğru müşteriyi beklerken onların üzerinde oturuyor.

  4. 0day kendi başına yararsız olabilir ve çalışmak için diğer istismarlarla zincirlenmesi gerekebilir.

BH ABD'de 0 günlerin hayatını analiz eden bazı ilginç araştırmalar yapıldı.

"0day kendi başına faydasız olabilir ve çalışmak için diğer istismarlarla zincirlenmesi gerekir."Bu büyük bir şey.Günümüzün karmaşık ve katmanlı sistemleriyle, bir hedeften maksimum düzeyde taviz vermek genellikle birden fazla istismar gerektirir.(Belki 0 gün, belki bilinen, belki insan istismarı vb.)
Bir istismarı "ödünç almak" ne demektir?
@Oddthinking Birisi, kullanmaya devam etmemek koşuluyla, size güvenle kullanabileceğiniz (belki sadece bir kez) bir 0 gün verecek kadar güvenebilir.
@Oddthinking - İnsanların sorunları maddi bir kazanç olmaksızın "eğlence" için çözdükleri stackexchange gibi, yazılım güvenlik açıklarıyla uğraşan insanlar bazen bilgilerini "eğlence" için paylaşma ihtiyacı hissederler.Bilgini gösteremiyorsan hiç eğlenceli değil.
Anon
2018-12-03 10:51:37 UTC
view on stackexchange narkive permalink

  1. 0 gün, etkili bir şekilde kullanıldığı keşfedilen başka bir güvenlik açığına bağlıdır. Örneğin, ilk etapta kod yürütme yapmıyorsanız, ayrıcalık yükseltme kullanamazsınız. Bu, şu anda sahip olduğunuzdan sonra 0 gün daha zincirlemek istediğinizde başka bir şekilde de çalışabilir.

  2. Saldırganın onu kullanmaya layık bir hedefi yok üzerinde. Ayrıca, saldırganın her şeyi aynı anda istismar etmeyebileceğine de işaret edeceğim, çünkü 0 günü öğrenilirse, gelecekte onu kullanamayacaksınız. Hacklemek istediğiniz şey, 0 gününü bulduğunuzda bile mevcut olmayabilir.

  3. 0 gününü kullanmak yasa dışı olabilir. İnsanlar en yüksek teklifi verene satarak yine de para kazanabilirler (buna bir hata ödül programından aldığınız para için pazarlık yapmak da dahildir)

McMatty
2018-12-03 07:55:52 UTC
view on stackexchange narkive permalink

Çünkü eski yöntemler en iyisidir. Tatlı bir SMBv1 saldırısını veya size aynı sonucu verecek SQLi'yi kullanabiliyorsanız neden pahalı bir 0 günü boşa harcayasınız? 0 gün kullanmak adli tıp yanıtından keşifle sonuçlanabilir değeri düşürmek ve etkili olacağı hedeflerin sayısını ortadan kaldırmak.

bwDraco
2018-12-03 09:54:25 UTC
view on stackexchange narkive permalink

Saldırganın bakış açısından, sıfır gün açıklarından yararlanma, kamuya açıklanmadığı için değerli bir kaynaktır. Hedef, proaktif olarak ona karşı savunma yapamayacağından, saldırgana gerçekten konuşlandırıldığında sürpriz unsuru verir.

Sıfırın her kullanıldığında, olma ihtimali vardır. hedef tarafından keşfedilen ve yazılım satıcısı tarafından düzeltilen güvenlik açığı. Güvenlik açığı kapatıldıktan sonra, istismarın faydası büyük ölçüde azalır ve yazılımı güncellemeyen hedeflerle sınırlıdır. Bu, istismarı "yakmak" olarak bilinir.

Günümüzde çoğu saldırganın amacı doğrudan veya dolaylı olarak para kazanmaktır (örneğin, hedeften kişisel bilgileri çalıp kullanarak) kimlik sahtekarlığı yapmak için), sıfır gün istismarlarının ekonomik değeri vardır. Exploit, yakılır ve etkisiz hale getirilirse değerini kaybeder. Özünde, sıfır gün, herkesin bildiği güvenlik açıkları aracılığıyla yararlanılamayacak yüksek değerli hedeflere karşı kullanılmak üzere saklanması gereken değerli ve harcanabilir bir silahtır.

Bu, örneğin bir saldırganın Bilinen güvenlik açıklarına sahip belirli bir yazılım parçasının daha eski bir sürümünü çalıştıran bir sistemi hedeflemek, sıfırıncı gün istismarını kullanmak ve onu yakma riskini almak yerine mevcut, kamuya açık bir istismarı kullanmak isteyecektir. İşi daha ucuz bir çözümle bitirmek varken neden değerli bir kaynağı israf edesiniz?

Kaël
2018-12-03 19:55:53 UTC
view on stackexchange narkive permalink

Belki de 0 günü olan bir saldırgan iyi bir fırsat bekliyor.

Çoğu hedefin iniş ve çıkışları vardır. Bir kişinin amacı hasarı mahvetmek ve olabildiğince çok hasar vermekse, ortaya çıkardıktan hemen sonra bir 0 gün kullanmak en iyi fikir olmayabilir.

Bazı hedeflerin insan gücünden yoksun oldukları ve kritik ortamlarına dokunmamaları gereken donmuş dönemler vardır. Bazılarının yeni bir ürünü piyasaya sürmek veya özellikle hassas bir veri kümesini işlemek için kritik dönemleri vardır.

Bu tür olaylardan önce bulunan güvenlik açığından yararlanmak, gerçekleşmeden önce keşfedilme riski olduğu anlamına gelir. Ve böylece saldırgan oldukça sert vurma fırsatını kaybeder.

Hedefin tam olarak nerede ve daha da önemlisi ne zaman canının yanacağını öğrenene kadar beklemesi gerekir ve bu büyük bir ikramiye olur.

2017'de öğle saatlerinde şirketleri hedefleyen bir kripto fidye yazılımı kampanyası vardı.

Bu iyi çalıştı, insanlar bilgisayarlarını kilitledi, yemek yemek için bir yere gitti ve herkes öğleden sonra 2'de ofisine döndüğünde her şey zaten şifrelenmişti. Orada alarm zilini çalacak kimse yoktu.

Şimdi bu saldırıyı mali yılın sonundaki önemli bir yönetim kurulu toplantısından hemen önce veya hedefe medyatik bir dikkatin verildiği bir dönemde uygulayın. Bu hedefin imajına ciddi şekilde zarar verebilir ve milyarlarca değilse milyonlara mal olabilir. Başka bir noktada bir saldırı gerçekleştirirken hiç fark edilmeyebilir.

Yakk
2018-12-05 01:27:22 UTC
view on stackexchange narkive permalink

Bir bilgisayara virüs bulaştırdığınızda ve 0 günlük bir istismar kullandığınızda, içeri nasıl girdiğinizi gösteren kanıtlar genellikle geride kalır. Kendinizi herhangi bir kanıt bırakmamaktan korumak, herhangi bir açıktan yararlanmayan bir yazılıma sahip olmak kadar zordur; neredeyse imkansız.

Birçok bilgisayar sistemine düzenli olarak yama uygulanmaz; böyle bir sistemde, eski bir istismar genellikle sizi iyi bir duruma getirir. Keşfedilen bu istismar ... pek bir şey yapmıyor. Demek istediğim, belirli bir istismarla internetteki bilgisayarların% 20'sinden fazlasını ele geçirdiyseniz, yama oranlarında bir artış olduğunu fark edebilirsiniz. Ama olmayabilirsin.

Öte yandan, 0 günlük istismar, güvenlik bilincine sahip hedeflere girmek için kullanılabilir. Belirli hedefi önemsiyorsanız ve onlar güvenli olmaya çalışırlarsa, 0 günlük istismar sizi yine de içeri sokabilir.

Ancak saldırınız fark edilebilir. Ve bir kez fark edildiklerinde, istismarınızı çözebilirler. Ve sizin istismarınızı çözdüklerinde, onu yama yapabilecek olan satıcıyla paylaşabilirler; veya bir yamayı kendileri kırabilirler.

Ve şimdi, 0 günlük istismarınızın yamaları yayınlandı ve gezegendeki güvenlik bilincine sahip her sistem, kullanımını engelliyor. Dolayısıyla, yarın, gerçekten bir yerde güvenli bir sunucuya girmek istediğinizde, farklı ve yeni istismarlara ihtiyacınız olacak. Kötüye kullanımınızı yaktınız.

İstismarınızın her kullanımı fark edilmeyecek ve her bildirim bir yama ile sonuçlanmayacak, ancak her kullanım, sizi bozan bir yamanın gelme şansını artırıyor. istismar.

Bunu, devlet destekli bilgisayar korsanlığı örnekleriyle açıklayabiliriz. Stuxnet, (hiçbir güvenlik önlemi olmayan) dört sıfır gün hatası kullandı. Keşfi, 4'ünün hepsinin yamalanmasına ve gelecekte yararlılıklarını "yakmasına" yol açtı. Buna karşılık, İran'da bir yığın pahalı santrifüj kırıldı ve İran'ın nükleer araştırmalarını yavaşlattı.

Çok daha az diplomatik, insani ve askeri riskle birden çok seyir füzesi görevini yerine getirdi.

H. Idden
2018-12-04 01:27:29 UTC
view on stackexchange narkive permalink

Diğer bir neden de, şu anda (en iyi şekilde) kullanamamalarıdır. Örnekler:

  • Akıllarında bir diplomat gibi belirli bir hedefleri olabilir, ancak istismarın aynı Ethernet- / WiFi ağında veya fiziksel erişimde olması gerekir. Bu nedenle, bu koşul karşılanana kadar beklemeleri veya koşulun karşılanması için ayarlamaları gerekir.

  • Hedef hakkında henüz yeterli bilgiye sahip değiller. Örneğin, ilginç bilgilerin hangi sunucuda barındırıldığını bulmaları gerekir. İstismarı dosyaları bulmadan kısa süre önce kullanırlarsa, tespit edilme ve kötüye kullanma olasılığı o kadar artar.

  • Şu anda kaynaklara / insan gücüne sahip değiller. saldırıyı başlatmak için şu anda başka bir hedefle meşguller veya saldırıları başlatmak için departman çalışanları şu anda hasta (kötü adamlar bile hastalanır).

  • Eksiklikleri etkili kullanmak için gerekli diğer araçlar. Kurban, postayı açtığında kodlarını çalıştırmak için bir E-posta istismarına sahip olabilir, ancak tüm RAT araçları / botnet istemcileri / fidye yazılımı şu anda tüm virüs tarayıcıları tarafından algılanmaktadır, bu nedenle onu yakmak işe yaramaz.



Bu Soru-Cevap, otomatik olarak İngilizce dilinden çevrilmiştir.Orijinal içerik, dağıtıldığı cc by-sa 4.0 lisansı için teşekkür ettiğimiz stackexchange'ta mevcuttur.
Loading...