RSAC议题解读|地下市场:漏洞武器化的生命周期

admin 2022年10月5日23:09:04评论51 views字数 2302阅读7分40秒阅读模式
RSAC议题解读|地下市场:漏洞武器化的生命周期

RSAC议题解读

2021年RSAC大会上,趋势科技的高级威胁研究员Mayra Rosario Fuentes分享了<Tales from the Underground: The Vulnerability Weaponization Lifecycle>的议题。作者花费一年时间对600+的地下市场论坛进行追踪,针对论坛中的漏洞利用工具交易市场进行了研究,从而对暗网中漏洞利用的买卖双方有一个全面的了解,比如漏洞利用工具的需求类型、出售类型,漏洞买卖双方的类型,以及漏洞武器化的生命周期。



01 地下市场中的漏洞利用类型

针对漏洞利用工具的买家,作者统计了2019年和2020年在黑市上的漏洞利用的需求清单,如下图所示。

RSAC议题解读|地下市场:漏洞武器化的生命周期


从图中我们可以看到微软的产品占地下论坛上所有请求漏洞的47%,这些漏洞主要分布在Microsoft Office(21%)、Microsoft Windows(11%)、Microsoft RDP(9%)、Microsoft Sharepoint(3%)、Internet Explorer(3%)。Winrar解压工具的漏洞占6%,物联网设备、Adobe、Android等产品的漏洞占5%。随着5G技术的应用,连接设备的带宽增加,物联网设备将变得更容易受到网络攻击。


其次买家愿意为漏洞利用工具支付的平均价格为2000美元,但是针对微软产品的0day漏洞的报价高达10000美元。在请求的漏洞清单中,52%的漏洞利用都不到2年。


针对漏洞利用工具的卖家,作者统计的黑市出售的漏洞利用类型如下图所示。

RSAC议题解读|地下市场:漏洞武器化的生命周期


从图中可以看到,微软的产品利用工具占据61%,主要分布在Microsoft Office(31%)、Microsoft Windows(15%)、Internet Explorer(10%)、Microsoft RDP(5%)。在英语论坛中最常见的是Office和Adobe的漏洞工具,而且Nday漏洞利用工具占据主导市场,其中54%的利用工具是最近2年的漏洞。


最后作者针对微软产品的漏洞利用工具的供需市场进行了比较,结果为图所示。

RSAC议题解读|地下市场:漏洞武器化的生命周期


根据比较,我们可以看到供需市场基本平衡,比如针对Word/Excel的漏洞利用工具,需求方占据漏洞总数量的46%、售卖市场占据52%。



02 地下黑市漏洞利用的生命周期

作者总结了一个漏洞利用工具在地下市场的声明周期,如图所示。

RSAC议题解读|地下市场:漏洞武器化的生命周期

一个漏洞利用工具首先由黑客进行开发,然后在论坛中开始售卖。随着工具在互联网上的使用,他将面临被一些被威胁捕获系统监测到的命运。随后该漏洞的细节被公开,厂商进行漏洞修复。漏洞修复后虽然也可继续售卖,但是最终都会导致该利用工具生命周期的结束。



03 多种类型的卖家

作者对论坛中的工具卖家进行分析,通常有以下几种卖家类型:


一个资深卖家至少有5年以上经验,每年卖出2个0day或1day的漏洞利用工具,价格从一万美元至五十万美元不等。


一个Bounty卖家可能是因为响应时间长或者报酬低于预期,对漏洞的赏金计划不满意,也可能是该卖家已经兑现了年度最大赏金数额,就将漏洞进行出售。


还有一些中间人或者政府类型人,会购买漏洞利用工具来兑换赏金计划。


目前还有一种基于订阅的服务,此类服务主要按时间段来订阅漏洞利用套件,订阅费在一个月60美元,3个月120美元,6个月200美元不等。订阅的套件包括一系列不同类型的漏洞,并在订阅期间内提供免费更新和全面支持服务。



04 漏洞利用工具的年份分布

地下漏洞利用并不完全是最新的漏洞,作者通过对2020年攻击中使用的历史漏洞进行统计,得出以下观点:

一、卖方出售的22%的漏洞已经存在3年以上,买家要求的漏洞有48%都已经存在3年以上。

二、在趋势的产品检测到的最古老的漏洞是1999年。

三、为一个面向互联网的系统打补丁的平均时间是71天。


作者还列举了地下市场中的过时漏洞。买方申请的漏洞包含CVE-2014-0133和CVE-2015-6639。卖方售卖的漏洞有CVE-2017-11882、CVE-2012-0158 以及CVE-2016-5195。针对CVE-2016-5195漏洞,作者给出了详细的生命周期。

RSAC议题解读|地下市场:漏洞武器化的生命周期


该漏洞是著名的Dirty Cow漏洞,Linux内核的内存子系统在处理写时拷贝(Copy-on-Write)时存在条件竞争漏洞。一个低权限的本地用户能够利用此漏洞获取其他只读内存映射的写权限,进一步导致提权漏洞,其生命周期已持续4年。


•2016年11月,CVE-2016-5195公开披露。

•2017年9月,出现第一个针对CVE的Android恶意软件ZNIU。

•2018年4月,Hackform论坛的用户寻求该CVE的帮助。

•2019年2月,漏洞利用论坛成员cj69以3000美元的价格出售漏洞利用。

•2019年4月,Exodus间谍软件利用该漏洞获取手机ROOT权限。

•2020年2月,Outlaw黑客组织也利用了该漏洞。



05 漏洞利用的修复

作者提到用户不可能每年都修补所有的CVE漏洞,因此我们不仅要关注高危险等级的漏洞,还需要考虑黑客希望使用并可以购买的漏洞。有价值的漏洞利用的寿命一般都长于大多数人的预期,因此修补知名漏洞可能比修补最新的漏洞更为重要。



RSAC议题解读|地下市场:漏洞武器化的生命周期

绿盟科技M01N战队专注于Red Team、APT等高级攻击技术、战术及威胁研究,涉及Web安全、终端安全、AD安全、云安全等相关领域。通过研判现网攻击技术发展方向,以攻促防,为风险识别及威胁对抗提供决策支撑,全面提升安全防护能力。


RSAC议题解读|地下市场:漏洞武器化的生命周期

M01N Team

聚焦高级攻防对抗热点技术

绿盟科技蓝军技术研究战队


原文始发于微信公众号(M01N Team):RSAC议题解读|地下市场:漏洞武器化的生命周期

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月5日23:09:04
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   RSAC议题解读|地下市场:漏洞武器化的生命周期http://cn-sec.com/archives/880424.html

发表评论

匿名网友 填写信息