灰色市场漏洞利用经纪商已经活跃起来,这一繁荣市场的最新迹象是,一家相对较新的进入者对Signal消息传递应用程序的零日漏洞发起了竞购战。
总部位于俄罗斯的OpZero最近公开出价150万美元收购用于 Signal 远程代码执行 (RCE) 漏洞利用,是美国公司Zerodium提供的该应用程序相对稳定价格的最高纪录三倍之多。
网络安全专家表示,这场特别的竞购战表明,俄罗斯政府迫切希望获得对使用Signa进行通信的乌克兰人的监控能力。
但这方面的价格变动也提供了一个微观视角,让人们看到了灰色市场客户(最典型的是政府)对中介经纪人的更多依赖。
这些经纪人有时是独立的交易商,有时是国家情报机构的伪装掩护,他们从对利用他们的工作感兴趣的安全研究人员那里购买。
研究人员称,这个市场是基于“不不问我,我就不会告诉你谎言”的原则运作的。经纪人在与白帽和黑帽安全专家合作时毫无顾忌——漏洞开发者不会问他们的漏洞将如何被使用或被谁使用。
这些安排将这个市场置于以供应商为导向、高度结构化的漏洞赏金市场与由黑帽主导的暗网混乱和公开犯罪交易之间的沼泽中间地带。
根据今年早些时候在俄克拉荷马州塔尔萨举行的第21届信息安全经济学研讨会(WEIS 2012)上发表的一篇关于灰色市场零日漏洞利用的论文(文末见全文阅读地址):
![零日漏洞引发了 150 万美元的竞购]( "零日漏洞引发了 150 万美元的竞购")
漏洞利用经纪人通过与供应商(安全研究人员)签订合同,管理漏洞利用库存,并向买家(部署进攻性网络操作的行动者)销售来发挥做市场的作用。
这样,相对于供应商和直接相互签约的买家,经纪人可以更有效地管理交易成本。此外,经纪人还提供了一层针对声誉和法律后果的隔离。
该论文指出过去六年来,灰色市场中漏洞利用的价格增长了1240%。
也许市场上最公开和最多产的玩家之一是Zerodium,这是一家美国公司,根据该公司的常见问题解答,其模糊的客户名单是:主要来自欧洲和北美的政府机构。
该公司为iOS缺陷提供了高达200万美元的赔偿,并为一系列操作系统和应用程序中的漏洞提供了许多公开报价。
自2017年以来,该公司一直提供高达50万美元的长期报价,用于利用Signal和其他社交消息应用程序,包括Facebook Messenger、WhatsApp和Telegram。
OpZer以高出三倍的出价金额进入,这使得安全研究人员专家推测,该公司是俄罗斯情报机构的替身,这些情报机构对安卓和Signal的漏洞利用“绝望”。
因为安卓在乌克兰拥有近80%的市场份额,Signa的日活跃用户超过200万。
带Signa的安卓手机是强大的安全平台。它们不是军事装备,但它们完全能够提供保护以抵御各种安全威胁。
![零日漏洞引发了 150 万美元的竞购]( "零日漏洞引发了 150 万美元的竞购")
Zerodium 向安全研究人员支付巨额奖金,以获得他们最初的和以前未报告的零日研究。虽然大多数现有的漏洞赏金计划接受几乎任何类型的漏洞和 PoC,但报酬很少,但在 Zerodium,我们专注于具有完整功能的高风险漏洞,我们支付市场上最高的奖励(每次提交高达 2,500,000 美元)。
![零日漏洞引发了 150 万美元的竞购]( "零日漏洞引发了 150 万美元的竞购")
符合条件的零日攻击的赏金从每次提交 2,500 美元到 2,500,000 美元不等。Zerodium 为获得原始零日漏洞而支付给研究人员的金额取决于受影响软件/系统的流行度和安全级别,以及提交漏洞的质量(完整或部分链、支持的版本/系统/架构) 、可靠性、绕过漏洞利用缓解措施、默认与非默认组件、进程延续等)。如需更多信息,请阅读我们的常见问题解答。
下面列出的支出范围仅供参考,旨在用于满足 Zerodium 最高要求的功能齐全/可靠的漏洞利用。Zerodium 可能会为卓越的开发和研究支付更高的奖励。
![零日漏洞引发了 150 万美元的竞购]( "零日漏洞引发了 150 万美元的竞购")
![零日漏洞引发了 150 万美元的竞购]( "零日漏洞引发了 150 万美元的竞购")
Zerodium在一周或更短的时间内审查并验证所有提交的内容。通过银行转账或加密货币(例如比特币、门罗币、Zcash)分期或分期付款。第一笔付款将在一周或更短时间内发出。
![零日漏洞引发了 150 万美元的竞购]( "零日漏洞引发了 150 万美元的竞购")
【在线阅读】https://kdocs.cn/l/cjUQTivOkD1j
原文始发于微信公众号(网络研究院):零日漏洞引发了 150 万美元的竞购
评论