Question:
Pourquoi un attaquant voudrait-il jamais s'asseoir sur un exploit zero-day?
jonem
2018-12-03 06:33:25 UTC
view on stackexchange narkive permalink

J'essaie de comprendre pourquoi un attaquant voudrait attendre pour utiliser un exploit zero-day.

J'ai lu qu'un attaquant ne veut pas perdre le jour zéro car ils sont généralement très coûteux à obtenir en premier lieu, mais je ne sais pas ce que l'on entend par "gaspillage" ici . Le jour zéro peut être découvert par la communauté (par exemple les chercheurs en sécurité), ce qui le rendrait inutile. En ce sens, le jour zéro a été gaspillé par l'inaction de l'attaquant. Y a-t-il un risque à utiliser l'exploit zero-day trop tôt? Il semble qu'un attaquant veuille minimiser les chances de découverte du zero-day, et donc l'utiliser le plus rapidement possible.

Question: Quels facteurs amèneraient l'attaquant à attendre avant d'utiliser un exploit zero-day?

En plus d'être découverts au hasard par d'autres, deux choses peuvent gâcher un jour zéro.Tout d'abord, vous l'utilisez et il est détecté.Et deuxièmement, vous le vendez, ce qui augmente également la probabilité de divulgation ou de détection.Plus vous l'utilisez ou le partagez, plus le risque est grand.(Cela étant dit, il peut s'écouler longtemps avant qu'un jour zéro utilisé ne soit découvert si vous faites attention)
Une raison à laquelle je peux penser est qu'ils ont juste assez de moralité pour ne pas l'utiliser eux-mêmes, mais pas assez pour les empêcher de le vendre et d'obtenir le prix le plus élevé.
Parce que certains pays paient beaucoup d'argent pour eux ... Mauvais pays étrangers, évidemment, certainement pas les USA, car nous ne sommes pas un pays étranger ...
@Chloe Certaines personnes vendent des exploits, mais ne les vendent qu'à des acheteurs privés et jamais aux gouvernements (même si les entrepreneurs gouvernementaux paient des prix plus élevés).Cela le rend beaucoup plus éthique.
Si vous bénéficiez d'une réduction de 10% sur votre prochain achat, préférez-vous l'utiliser pour vos courses de 10 £ demain ou pour la nouvelle voiture de 10000 £ le mois prochain?
@Harper Ha ha ... Tout le monde est étranger à quelqu'un ... :-)
"causer le ** attaquant **" - c'est votre première idée fausse.Les attaquants ne sont presque JAMAIS ceux qui découvrent les exploits zero day.Ce sont des gens qui veulent pirater l'ordinateur d'autrui pour diverses raisons.Les découvreurs d'exploits, en revanche, sont généralement des codeurs curieux de voir s'ils peuvent casser un logiciel.Parfois, ces deux personnages peuvent être la même personne mais à des moments différents.Le moment où je découvre moi-même un bogue de sécurité n'est presque jamais en même temps que je suis en colère contre quelqu'un
Si je vous donnais une arme illégale, commenceriez-vous à tirer dessus immédiatement?Alerter les flics et vider le clip?Non, vous attendriez quelque chose qui vaille la peine d'être photographié.
@slebetman Ce n'est pas toujours vrai.À l'exception des gros kits d'exploit comme CANVAS et Core Impact, ceux qui trouvent 0days les utilisent très souvent eux-mêmes.En fait, tous ceux que je connais qui ont trouvé 0days (qui ne les a pas signalés) l'ont utilisé eux-mêmes ou le gardent pour leur propre usage.
Pourquoi le grand maître d'échecs américain Frank Marshall a-t-il attendu plusieurs années pour dévoiler son dangereux Marshall Attack dans le Ruy Lopez?Il voulait une bonne cible pour cela.Il aurait pu l'utiliser dès qu'il l'a découvert contre des joueurs plus faibles, mais l'a gardé pour un match contre Capablanca (le joueur le plus fort du monde à l'époque).Capablanca a gagné facilement, mais c'est une autre histoire.(Il y a un débat sur la question de savoir si Marshall garder son secret pendant des années est apocryphe, mais c'est une tradition d'échecs standard).
Pourquoi les commentaires ici sont-ils tous utilisés pour fournir des analogies?
@forest Vous avez manqué mon point sur l'attaquant et le découvreur peut être la même personne mais à des moments différents.Personnellement, je n'ai jamais réussi à trouver un exploit au moment où j'en ai besoin et je parie que c'est la même chose pour les gens que vous connaissez
@slebetman Ah vous avez raison, ça m'a manqué.Bon point.
@forest parce que les analogies sont (sans doute) amusantes et potentiellement éclairantes, mais ne sont manifestement pas des réponses.
@forest Supposons que votre commentaire soit un biscuit, et que vous vouliez mettre du beurre dessus ...
Seuls les commentaires ici donnent suffisamment de données pour tracer un bon graphique de ce que les gens sur ce site feraient.Fait intéressant, pas une seule personne n'a dit qu'elle passerait du temps à essayer de trouver la bonne personne honnête à qui parler afin que cela puisse être corrigé et non exploité.
Sept réponses:
forest
2018-12-03 09:09:40 UTC
view on stackexchange narkive permalink

Il est plus probable que vous brûliez un 0jour en l'utilisant qu'en vous asseyant dessus.

Il y a un bon équilibre entre rester assis un 0jour si longtemps qu'il découvert par quelqu'un d'autre et corrigé, et l'utiliser trop tôt et inutilement, le graver. La balance a tendance à peser en faveur d'une attente plus longue, puisqu'un bon 0jour va être suffisamment obscur pour ne pas être trouvé rapidement. Le plus gros risque n'est en fait pas la découverte dans ce cas, mais l'obsolescence lorsque le code vulnérable est réécrit ou supprimé pour des raisons totalement indépendantes, et que l'exploit 0day ne fonctionne plus.

La plupart du temps, cependant , un attaquant n'a tout simplement pas besoin de l'utiliser. Si j'ai un précieux exploit d'escalade de privilèges local Linux, pourquoi l'utiliserais-je alors qu'un peu de reconnaissance supplémentaire me dit que je peux utiliser un ancien exploit contre un démon privilégié mal patché? Mieux vaut le garder dans le fonds des jours de pluie.

Il y a quelques autres raisons pour lesquelles 0days peut être conservé pendant de longues périodes:

  1. Certaines personnes accumulent simplement 0 jours pour dans l'intérêt de celui-ci. C'est trop courant.

  2. Peut-être avez-vous emprunté le 0day à quelqu'un, auquel cas le brûler les énerverait.

  3. Parfois, un courtier 0day est assis dessus en attendant le bon client.

  4. Le 0day peut être inutile en lui-même, nécessitant d'être enchaîné avec d'autres exploits pour fonctionner.

Une recherche intéressante présentée à BH US a analysé la vie de 0days.

"Le 0day peut être inutile en lui-même, ayant besoin d'être enchaîné avec d'autres exploits pour fonctionner."C'est un gros problème.Avec les systèmes complexes et en couches d'aujourd'hui, compromettre au maximum une cible nécessitera souvent plus d'un exploit.(Peut-être un 0-day, peut-être un connu, peut-être un exploit humain, etc.)
Que signifie «emprunter» un exploit?
@Oddthinking Quelqu'un peut vous faire suffisamment confiance pour vous donner un 0jour que vous pouvez utiliser en toute sécurité (peut-être une seule fois), à condition que vous ne continuiez pas à l'utiliser.
@Oddthinking - Tout comme stackexchange où les gens résolvent des problèmes pour «s'amuser» sans gain matériel, les gens qui bricolent des vulnérabilités logicielles ressentent parfois le besoin de partager leurs connaissances pour «s'amuser».Ce n'est pas amusant si vous ne pouvez pas montrer vos connaissances.
Anon
2018-12-03 10:51:37 UTC
view on stackexchange narkive permalink

  1. Le jour 0 dépend de la découverte d'une autre vulnérabilité pour être efficacement utilisée. Par exemple, vous ne pouvez pas utiliser une élévation de privilèges si vous n'avez pas d'exécution de code en premier lieu. Cela peut également fonctionner dans l'autre sens où vous voudriez un autre jour 0 pour enchaîner après celui que vous avez actuellement.

  2. L'attaquant n'a pas de cible digne de l'utiliser sur. Je ferai également remarquer que l'attaquant pourrait ne pas tout exploiter en même temps car si le jour 0 est découvert, vous ne pourrez plus l'utiliser à l'avenir. Ce que vous voulez pirater peut même ne pas exister lorsque vous trouvez le jour 0.

  3. Exploiter le jour 0 peut être illégal. Les gens peuvent toujours gagner de l'argent en le vendant au plus offrant (cela inclut la négociation de l'argent que vous obtenez d'un programme de primes de bogues)

McMatty
2018-12-03 07:55:52 UTC
view on stackexchange narkive permalink

Parce que les anciennes méthodes sont les meilleures.Pourquoi faire sauter un 0-day coûteux alors que vous pouvez simplement utiliser une attaque SMBv1 douce ou SQLi qui vous donnera le même résultat? L'utilisation d'un 0-day peut entraîner une découverte à partir d'une réponse médico-légale réduire la valeur et éliminer le nombre de cibles contre lesquelles il sera efficace.

bwDraco
2018-12-03 09:54:25 UTC
view on stackexchange narkive permalink

Du point de vue de l'attaquant, un exploit zero-day est une ressource précieuse car il n'est pas publiquement connu. Cela donne à l'attaquant l'élément de surprise lorsqu'il est réellement déployé, car la cible ne pourra pas se défendre de manière proactive contre elle.

Chaque fois qu'un zero-day est utilisé, il y a une chance qu'il le soit. découverte par la cible et la vulnérabilité corrigée par l'éditeur du logiciel. Une fois la vulnérabilité fermée, l'utilité de l'exploit est considérablement réduite et limitée aux cibles qui n'ont pas mis à jour le logiciel. C'est ce qu'on appelle "brûler" l'exploit.

Parce que le but de la plupart des attaquants aujourd'hui est de gagner directement ou indirectement de l'argent (par exemple en volant les informations personnelles de la cible et en les utilisant commettre une fraude d'identité), les exploits zero-day ont une valeur économique. L'exploit perd sa valeur s'il est brûlé et rendu inefficace. Essentiellement, un zero-day est une arme précieuse et consommable qui doit être conservée pour être utilisée contre des cibles de grande valeur qui ne peuvent pas être exploitées par des vulnérabilités connues du public.

Cela signifie, par exemple, qu'un attaquant cibler un système exécutant une version plus ancienne d'un logiciel particulier avec des vulnérabilités connues voudrait utiliser un exploit existant et accessible au public plutôt que d'utiliser l'exploit zero-day et risquer de le brûler. Pourquoi gaspiller une ressource précieuse alors que vous pouvez faire le travail avec une solution moins coûteuse?

Kaël
2018-12-03 19:55:53 UTC
view on stackexchange narkive permalink

Peut-être qu'un attaquant avec un 0jour attend une bonne opportunité.

La plupart des cibles ont leurs hauts et leurs bas. Si son objectif est de faire des ravages et de faire autant de dégâts que possible, utiliser un 0day immédiatement après l'avoir découvert n'est peut-être pas la meilleure idée.

Certaines cibles ont des périodes figées, où elles manquent de main-d'œuvre et ne doivent pas toucher leurs environnements critiques. Certains autres ont des périodes critiques pour lancer un nouveau produit ou gérer un ensemble de données particulièrement sensibles.

Exploiter la vulnérabilité qui a été trouvée avant un tel événement signifie qu'il y a un risque qu'elle soit découverte avant qu'elle ne se produise. Et donc l'attaquant perd une occasion de frapper assez fort.

Devrait-il attendre d'avoir suffisamment de connaissances sur une cible pour frapper exactement où et surtout quand ça fait mal, et ce sera le jackpot.

En 2017, une campagne de crypto-ransomware a ciblé les entreprises pendant les heures du déjeuner.

Cela a bien fonctionné, les gens ont verrouillé leur ordinateur, vont quelque part pour manger, et quand tout le monde revient à son bureau à 14 heures, tout était déjà chiffré. Personne n'était là pour sonner l'alarme.

Maintenant, appliquez cette attaque juste avant une réunion importante du conseil d'administration à la fin de l'exercice, ou pendant une période d'attention médiatique sur la cible. Cela pourrait nuire gravement à l'image de cet objectif et coûter des millions, voire des milliards. Lors d'une attaque à un autre moment, il se peut que vous ne soyez pas du tout remarqué.

Yakk
2018-12-05 01:27:22 UTC
view on stackexchange narkive permalink

Lorsque vous infectez un ordinateur et utilisez un exploit de 0 jour, les preuves de la façon dont vous êtes entré sont souvent laissées pour compte. S'empêcher de laisser des preuves est à peu près aussi difficile que d'avoir un logiciel qui ne contient aucun exploit; presque impossible.

De nombreux systèmes informatiques ne sont pas corrigés régulièrement; sur un tel système, un vieil exploit vous permettra généralement de réussir. Cet exploit découvert ... ne fait pas grand-chose. Je veux dire, si vous avez pris plus de 20% des ordinateurs sur Internet avec un exploit spécifique, vous remarquerez peut-être une augmentation des taux de correctifs. Mais ce n'est peut-être pas le cas.

Un exploit de 0 jour, par contre, peut être utilisé pour percer des cibles soucieuses de la sécurité. Si vous vous souciez de la cible spécifique , et qu'elle fonctionne pour être sécurisée, l'exploit de 0 jour peut encore vous attirer.

Votre attaque peut cependant être remarquée. Et une fois remarqué, ils pourraient travailler sur votre exploit. Et une fois qu'ils ont travaillé sur votre exploit, ils pourraient le partager avec le fournisseur, qui pourrait le corriger; ou ils peuvent pirater eux-mêmes un correctif.

Et maintenant, votre exploit 0-day a publié des correctifs, et chaque système soucieux de la sécurité de la planète bloque son utilisation. Alors demain, quand vous voudrez vraiment pénétrer quelque part dans un serveur sécurisé, vous aurez besoin d'exploit différent et nouveau . Vous avez brûlé votre exploit.

Toutes les utilisations de votre exploit ne seront pas remarquées, et tous les avis ne donneront pas lieu à un correctif, mais chaque utilisation augmente les chances qu'un correctif arrive qui brise votre exploiter.

Nous pouvons illustrer cela avec quelques exemples de piratage informatique sponsorisé par l'État. Stuxnet a utilisé quatre failles zero-day (contre lesquelles il n'y avait aucune sécurité). Sa découverte a conduit à la mise à jour des 4 patches, "brûlant" leur utilité à l'avenir. En échange, un tas de centrifugeuses coûteuses en Iran s'est cassé, ralentissant la recherche nucléaire iranienne.

Il a fait le travail de plusieurs missiles de croisière, avec beaucoup moins de risques diplomatiques, humanitaires et militaires.

H. Idden
2018-12-04 01:27:29 UTC
view on stackexchange narkive permalink

Une autre raison est qu'ils ne peuvent pas l'utiliser (de manière optimale) pour le moment. Des exemples sont:

  • Ils peuvent avoir une cible spécifique comme un diplomate en tête, mais l'exploit nécessite d'être dans le même réseau Ethernet / WiFi ou accès physique. Ils doivent donc attendre que cette condition soit remplie ou l'arranger pour que la condition soit remplie.

  • Ils n'ont pas encore assez d'informations sur la cible. Par exemple, ils doivent trouver un moyen sur quel serveur les informations intéressantes sont hébergées. S'ils utilisent l'exploit peu de temps avant de trouver les fichiers, plus il est probable qu'ils soient détectés et que l'exploit soit brûlé.

  • Ils n'ont actuellement pas les ressources / la main-d'œuvre pour lancer l'attaque car ils sont actuellement occupés par une autre cible ou les employés de leur service pour lancer les attaques sont actuellement malades (même les méchants tombent malades).

  • Ils manquent de autres outils nécessaires pour une utilisation efficace. Le peut avoir un exploit de messagerie pour exécuter son code lorsque la victime ouvre le courrier, mais tous ses outils RAT / botnet-clients / ransom-ware sont actuellement détectés par tous les antivirus, il serait donc inutile de le graver.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Loading...