从Hacking Team看0day漏洞市场(上)

0day漏洞市场一直由于其天然的隐秘性而不为人知，近日，有研究人员（Vlad Tsyrklevich）透过Hacking Team被入侵而泄露的一些列邮件，对与HackingTeam有关的零日漏洞供应商做了一个梳理。从一定角度了解到0day市场的情况。例如都有哪些0day供应商？是怎么支付的？他们怎样结识上的？哪些漏(ruan)洞(jian)值(an)钱(quan)？这个市场也谈关系吗？

从这些邮件的分析显示，很多供应商直接将零日漏洞信息卖给政府，导致Hackingteam的零日漏洞供应商范围变得很小。一些已确定的漏洞供应商（比如VUPEN和COSEINC），确实会卖漏洞信息给Hacking Team，但价格过高，漏洞信息也不是最新的，甚至并不是零日漏洞。所以在选择既可靠又实惠的供应商上，Hackingteam面临很多难题。

总体情况介绍

Hacking Team和零日漏洞供应商之间的关系要追溯到2009年，那时候，他们正从信息安全顾问公司转变为发展监控业务。一开始他们很兴奋从D2Sec和VUPEN公司购买漏洞，但是却发现并不是他们所需要的客户端侧的漏洞。虽然2012年底，CitizenLab发布了关于Hacking Team用于镇压阿联酋激进分子所使用的软件报告。（Citizen Lab，是加拿大多伦多大学三一学院的蒙克国际研究中心下设的一个研究单位。专注于研究通讯技术、人权与全球安全的三者所交融的区域）但并没有对HackingTeam与这些供应商的关系有太大打击。在2013年Hacking Team的CEO还提到在寻找新漏洞供应商方面面临的困难。同一年，Hacking Team联系了很多公司，包括 Netragard, VitaliyToropov, Vulnerabilities Brokerage International和RosarioValotta。2014年，他们开始与QavarSecurity公司的合作更密切。

那些与HT有染的0day漏洞供应商

1) Vitaliy Toropov

商业模式：俄罗斯漏洞开发人员，自由职业。2013年10月开始接触HackingTeam， 提供各种浏览器组件的漏洞信息。Vitaliy早在2011年开始就给iDefense和惠普的Zero Day Initiative提交漏洞，主要也是浏览器组件方面，一般他直接向Hacking Team售卖漏洞，但也有一些迹象表明他还通过Netragard的Exploit Acquisition Program出售漏洞（CANDLESTICK-BARNE的描述和Vitaliy提供Flash漏洞给HackingTeam 描述一模一样）

定价：Vitaliy以非独家方式卖了多个Flash漏洞利用代码给HackingTeam价钱都比较低大约为$ 35-45K，而独家的话是非独家价格的三倍，说明非独家的漏洞信息可能被重复出售很多次。而其他供应商通常不这么低价的售卖非独家的漏洞，以Firefox的漏洞为例，Vulnerabilities BrokerageInternational漏洞供应商对于非独家的只会提供20%的折扣。

协议测试期：对于第一次购买，Hacking Team 有一个三天的评估期，以测试0day的有效性，HackingTeam原本是希望Vitaliy飞到米兰显示测试效果的。但是Vitaliy允许HackingTeam远程进行测试。后来他们就一直沿用了这种验证方式。

付款结构：Vitaliy开始的两个漏洞的付款协议大约是按照50％/ 25％/ 25％的支付方式。也就是一开始Vitaliy获得50%，如果漏洞没有被修复接下来两个月再获得剩下的25%。在销售第三个漏洞时，Vitaliy想一次性获得全款，如果在后面两个月 出现被修复的情况，则提供一个替代的漏洞。但由于沟通的问题以及信任的问题。最终也是分开付款的。

漏洞利用：Vitaliy在2013年底开始卖漏洞给hacking team，包括3个Flash远程执行代码漏洞，两个Safari的远程执行代码漏洞和一个Silverlight漏洞。Hacking Team还向Vitaliy要权限提升的和沙盒逃逸的。但是一直都没有得到回应。
下面是Vitaliy的漏洞出售信息：

关于Adobe security：Vitaliy出 售两个相似漏洞给Hacking Team后，Hacking Team担心一个漏洞有补丁后，Adobe 将修复另一个相似漏洞，导致他们两个购买都没有作用，但是Vitaliy声称Adobe的安全做得很差，已他的经验adobe是不会发现相似漏洞。结果实际上Adobe在四月份修复了CVE-2015-0349，缺没有发现第二个CVE-2015-5119漏洞，直到Hacking Team被黑了，邮件信息曝光后，adobe才修复第二个漏洞。

2) Netragard

美国公司，由Adriel Desautels运营的Netragard是一家信息安全顾问商和漏洞中间商。Hacking Team与Netragard第一次接触是2011年7月，但是直到2013年才确立合作关系。按Adriel Desautels的说法1999年就已经开始做漏洞贩卖商。他在Hacking Team 被入侵后 就关闭了他的贩卖计划（ExploitAcquisition Program）。

客户关系：Netragard的ExploitAcquisition Program声称并不向美国以外的的买家销售。所以HackingTeam利用Alex Velasco的CICOM USA作为代理和Netragard沟通，以此满足Netragard的条款。但是随着HackingTeam与CICOM USA关系恶化，后来（2015年3月）Netragard就直接和HackingTeam合作了。从邮件中显示Netragard声称要和更多的国际买家合作。不过像西欧的卢森堡想向Netragard买漏洞，Netragard表示更愿意以HackingTeam作为中间商。由此可见在地下0day交易市场其实还是很看重已建立的互相关系。

买家合同：Hacking Team与Netragard之间签订了一个买家合同。其中有一些有意思的条款。比如金额等于或低于4万美元的漏洞可以在一个月之后一次性付款，不然将分开按照50%/25%/25%的方式。

购买历史：2014年6月，HackingTeam表示希望购买STARLIGHT-MULHERN一个针对AdobeReader11客户端的漏洞，附带整合了绕过沙盒的功能。开始的价格是$100k，但后来最终价格是$80.5k，似乎是由于没有绕过沙盒的功能。另外，也曾经有在测试漏洞利用代码期间，HackingTeam发现在Windows8.1/x64上不生效的情况。后来经过Netragard的协商，开发者可以提供针对windows8.1的功能，但是需要增加$30k，这个价格已经比单独提供有优惠，但是从泄露的邮件看，并没有显示HackingTeam为此买账。最后这个漏洞在2015年5月份的时候被Adobe修复。

3) Qavar

新加坡公司，2014年4月HackingTeam参加了在新加坡举行的SyScan 大会，希望招募一些新的漏洞开发人员。因为HackingTeam相信像VUPEN这样的“军火商”通常都是简单的倒卖一下就大大提高了漏洞利用代码的价格，如果可以与研究人员直接联系，可以拿到更低的价格。而这次大会上，HackingTeam就成功挖到Eugene Ching（亚洲人，linkedin上也有他的资料）。Eugene Ching的PoC演示另HackingTeam的安全防御团队印象很深。并且Eugene Ching表示有意离开目前的D-crypt's Xerodaylab 去成立一个新公司。于是在2014年8月的时候EugeneChing成立了Qavar Security Ltd公司。并和HackingTeam签订了为期1年的合同，明确规定了$80kSGD(约$60k美元)的补偿。合同还包含三年的非竞争和竞业禁止协议。经过几个月的开发，在2015年4月的时候，Eugene准备好给HackingTeam交付针对windows32和64位，上至windows8.1有效的漏洞利用代码。Eugene为此获得$30SGD(大约$20k美元)奖金。

篇幅所限，今天先把3家看了。从中可见Adobe的安全性真的另漏洞开发人员都失望透了。并且这个0day交易市场其实也是相当的看重合作关系的。不是随随便便有钱就可以进入。另外，安全大会原来除了议题原来还有这么多幕后的故事。

下篇还将有著名的VUPEN的

内容参考自https://tsyrklevich.net/2015/07/22/hacking-team-0day-market/

---

PS：最近华为商城招安全攻城狮。点击下方的"阅读原文"，或回复关键字“招聘”查看详情。

欢迎关注zsfnotes的公众号

本文始发于微信公众号（张三丰的疯言疯语）：从Hacking Team看0day漏洞市场(上)