在电脑领域中,零日漏洞或零时差漏洞(英语:zero-day vulnerability、0-day vulnerability)通常是指还没有补丁的安全漏洞,而零日攻击或零时差攻击(英语:zero-day exploit、zero-day attack)则是指利用这种漏洞进行的攻击。提供该漏洞细节或者利用程序的人通常是该漏洞的发现者。零日漏洞的利用程序对网络安全具有巨大威胁,因此零日漏洞不但是黑客的最爱,掌握多少零日漏洞也成为评价黑客技术水准的一个重要参数。
零时差攻击及其利用代码不仅对犯罪黑客而言,具有极高的利用价值,一些国家间谍和网军部队,例如美国国家安全局和美国网战司令部也非常重视这些信息。据路透社报告称美国政府是零时差漏洞黑市的最大买家。
一般而言,零时差攻击唯一彻底解决方法便是由原软件发行公司提供修补程序,但此法通常较慢,因此软件公司通常会在最新的病毒代码中提供回避已知零时差攻击的功能,但无法彻底解决漏洞本身。根据赛门铁克第14期网络安全威胁研究在2008年分析的所有浏览器中,Safari平均要在漏洞出现9天后才会完成修补,需时最久。Mozilla Firefox平均短于1天,需时最短。
==========================
近几年0day漏洞是每个安全从业者都非常关注的话题,一方面黑市中通用的、可造成大范围影响的0day漏洞售价几万美元至几百万美元不等,令诸多黑客们对0day漏洞趋之若鹜,以挖到0day漏洞为荣; 而另一方面,企业安全人员谈0day色变,面对0day漏洞攻击往往是束手无策。 在历次大型攻防演练活动中,0day漏洞均成为攻击团队突破防线的有力武器,因此网上关于0day漏洞的讨论也大有愈“演”愈烈之势。 那么到底什么是0day漏洞? 0day漏洞是如何产生的? 为什么防守困难? 面对困境,我们又该怎么做? 今天,我们就来正经说一下0day漏洞。
一个漏洞从发现到解决有三个时间点:
漏洞被发现(T0)
漏洞信息公布(T1)
漏洞被修补(T2)
——T0————T1————T2————
漏洞的0/1/N day类型,就是利用漏洞进行攻击的时间(Texp),对应上边时间轴中漏洞的状态而决定的。
当Texp1,此时漏洞即0day漏洞,又称“零日漏洞”(zero-day),是已经被发现,还未被公开,官方还没有相关补丁的漏洞,攻击者此时攻击如入无人之境,攻击效果最佳。
当T1exp2,此时漏洞即1day漏洞,漏洞信息已经被披露,某些勤快的系统管理员已经关注并使用了临时修补手段,但大部分受影响系统因官方补丁的缺失导致其脆弱性依然广泛存在,攻击者此时攻击有效性仍较高。
当Texp>T2,此时漏洞即Nday漏洞,由于官方补丁已出,此时攻击者利用该漏洞进行攻击,有效性已大幅降低,只能寄希望于捡漏了。
0day漏洞是如何产生的?
只要有代码,就会有漏洞。0day漏洞本质上也是漏洞,漏洞产生的内因就是代码的缺陷,代码的缺陷率可以降低却不可以完全消除,因此,代码与漏洞注定相伴相生。公开数据显示,每1000行代码中就会有2-4个漏洞,操作系统、中间件、应用系统、软件以及应用软件开发过程中难免要引入的各类第三方开源组件、框架等,每年都会爆出很多0day漏洞,甚至某些安全产品自身也会遭受0day漏洞的攻击,因为安全产品自身功能也是由代码实现的。
有市场就有需求。多年前,0day漏洞还只是“炫技小子”跟朋友炫耀的谈资,而在信息化如此发达的今天,互联网像是一座金矿,0day漏洞则更多的被用来实现攻击者的经济目的甚至政治目的。在数据为王的时代,数据的增值无形中也带动了0day漏洞赏金水涨船高,所谓重赏之下必有“勇”夫,0day漏洞的挖掘者越来越多,0day漏洞越来越多浮出水面也就不足为奇了。
为什么防不住0day漏洞?
无法解决的0day漏洞防御滞后性问题。0day漏洞之所以称为0day,正是因为其补丁永远晚于0day漏洞攻击,这是面对0day漏洞攻击时防守方的天然劣势。很多情况下,攻击者利用0day漏洞攻击的成功率极高,往往可以达到目的并全身而退,而防守方却一无所知,只有在漏洞公布之后才根据线索找到一些漏洞攻击时留下的蛛丝马迹。
看不见的才是最可怕的。2009年,伊朗纳坦兹核燃料浓缩工厂浓缩铀的产量每况愈下,终于,安全人员在一台装有控制软件的电脑上发现了带有震网病毒的U盘,该病毒最终导致1000台铀浓缩离心机废弃。据分析,震网设计者精心构置了微软操作系统中4个在野0day漏洞,并和工控系统的在野0day漏洞进行组合,以实现精准打击、定向破坏。面对0day漏洞,防守方无法知晓攻击者在什么时间,采用什么方式,针对哪些薄弱环节进行攻击,只能乱拳出击;而攻击者目的明确,有的放矢,往往采用“社工+常规攻击+0day漏洞”或多种0day漏洞的组合式攻击,致命的0day漏洞在攻击过程中只是作为突破或提权最关键环节的一把钥匙,令人防不胜防。
面对0day漏洞,我们应该做什么?
一、持续提高安全意识
信息安全,意识为先。据统计,单纯依靠0day漏洞攻击成功事件,数量远低于包括弱密码、不合规配置、安全意识不够等基础工作不到位引发的安全事件。因此,应对0day漏洞,内功修炼很重要,要做好安全合规,守好安全红线,做到不设置弱密码、不安装盗版软件、不使用陌生U盘、不点击陌生邮件,在此基础上谈论如何应对0day漏洞才有意义。
二、建立SDL开发安全管理体系
建立SDL开发安全管理体系是系统化应对0day漏洞、减少0day漏洞出现的有效方法,既治标也治本。SDL的核心理念就是将安全考虑集成在软件开发的需求分析、设计、编码、测试和维护等每一个阶段,以大幅降低漏洞产生概率。以微软为例,在全面推行SDL后,Windows XP和Windows Vista的漏洞报告数量减少了45%,SQLServer2000、2005版本之间的漏洞报告数量减少了91%。
三、摸清家底,及时修补
摸清家底需要解决资产“有哪些”、“谁在用”的问题,将全部重要资产进行纳管,及时准确的获取相关资产的版本信息,下线风险较大的资产,收敛暴露面。同时,结合NVD、CNVD等漏洞库信息,以及业界专业安全公司提供的威胁情报,形成多渠道的情报来源,及时准确披露漏洞信息,对相关资产第一时间做好补丁升级,在0day漏洞攻击发生时能最快定位到受影响资产,最大程度地减少0day漏洞有效作用时间。
四、构建纵深防御体系
没有任何一款单独的安全产品,可以针对所有威胁向量提供保护。面对0day漏洞,传统的单点防护手段已无法胜任,我们需要不断拓展防护层次,并且在对抗中不断提升检测精度,并综合利用内部多种日志和流量信息,进行关联分析,让攻击者“进不来”、“拿不走”、“跑不掉”,不断增加攻击者0day漏洞的攻击成本。
==========================
0day漏洞,是指已经被发现,但是还未被公开,同时官方还没有相关补丁的漏洞;通俗的讲,就是除了黑客,没人知道他的存在,其往往具有很大的突发性、破坏性、致命性。
0day漏洞之所以称为0day,正是因为其补丁永远晚于攻击。所以攻击者利用0day漏洞攻击的成功率极高,往往可以达到目的并全身而退,而防守方却一无所知,只有在漏洞公布之后,才后知后觉,却为时已晚。
“后知后觉、反应迟钝”就是当前安全防护面对0day攻击的真实写照!
为了方便大家理解,中科三方为大家梳理当前安全防护模式下,一个漏洞从发现到解决的三个时间节点:
T0:此时漏洞即0day漏洞,是已经被发现,还未被公开,官方还没有相关补丁的漏洞,攻击者此时攻击如入无人之境,攻击效果最佳,持续时间几个月不等;
T1:此时漏洞即1day漏洞,漏洞信息已经被披露,某些勤快的系统管理员已经关注并使用了临时修补手段,但大部分受影响系统因官方补丁的缺失导致其脆弱性依然广泛存在,攻击者此时攻击有效性仍较高。
T2:此时漏洞即Nday漏洞,由于官方补丁已出,此时攻击者利用该漏洞进行攻击,有效性已降低。
从T0到T2,这个过程 ,往往需要几天,几个月不等!
在攻击中,黑客们往往目的明确,有的放矢,采用“社工+常规攻击+0day漏洞”或多种0day漏洞的组合式攻击,偷偷的来,偷偷的伤害,看不见的才是最可怕的,0day攻击正是如此。
被动防御,面对0day攻击,除了躺平,别无他法。而更加不幸的是,0day攻击时代,已经到来了。
国家信息安全漏洞平台显示,仅2020年上半年,0day漏洞的收录数量就达到了4582个,占比全部收录漏洞的41.4%,同步大幅增长了80.7%。
0day成为了黑客和安全防护博弈的重中之重。一方面黑市中通用的、可造成大范围影响的0day漏洞售价几万美元至几百万美元不等,令诸多黑客们对0day漏洞趋之若鹜;而另一方面,企业安全人员谈0day色变,面对0day漏洞攻击往往是束手无策,有的企业甚至采用了关机、拔网线、停业务等极端方式。
防而不护,就像纸老虎,敷衍自己罢了!
无延迟的防0day,成为了当前与未来安全防护的核心所在。
==========================
0day是什么?
0day漏洞,又称“零日漏洞”(zero-day),是已经被发现(有可能未被公开),而官方还没有相关补丁的漏洞。通俗地讲就是,除了漏洞发现者,没有其他的人知道这个漏洞的存在,并且可以有效地加以利用,发起的攻击往往具有很大的突发性与破坏性。
0day拥有多大威力
早在2011年,一款名为“Duqu”的木马被发现,而它的目标是从各工业设施的系统厂商处获取设计文件等数据信息,用于以后对各行业工业控制系统实施攻击。
在一起攻击中,攻击者正是定向发送了带有微软Word附件的邮件,该Word附件含有当时还未公布的零日核心漏洞。Duqu的出现,预示着网络攻击技术开启了新时代,攻击者将有足够的能力成功实施工业间谍活动。
2016年8月,苹果IOS系统出现了历史上最大的漏洞,因为质量极高且由三个0day漏洞组成,所以命名“三叉戟”。
用户只需要轻轻点击黑客发来的链接,手机就会被远程越狱。黑客瞬间就能获得手机的最高权限。众所周知,苹果手机越狱往往需要几个漏洞层层配合才能实现。但是利用一个链接,就可以彻底远程控制你的 iPhone,在这个0day出来之前这种级别的 iOS 漏洞,一直是个江湖传说。
0day的黑市价格
强如微软、苹果这样的公司,在面对0day漏洞的攻击时候,也只能采取事后补救,对系统升级等方法。不是他们不想去收集漏洞,而是那些发现0day的人更愿意将0day卖给黑产而不是提交给这些公司,而原因只有一个——漏洞提交的奖励远不及卖给黑产的收益。
在网上某组织甚至直接给出零日漏洞完整价格清单。针对如今三个主流PC端操作系统的0day价格为3万美金,移动端操作系统的价格更高达10万美金,苹果IOS系统甚至达到50万美金。然而这还不是全部,据笔者了解到,境外军方等机密行业一旦涉及0day收购,交易价值会飙至百万美元以上。
0day漏洞挖掘
下面分享一个知道创宇云安全积极防御小组发现漏洞的经过。
某日,积极防御小组的成员发出了一份紧急通报文件再次引起了公司高层的高度重视,作为技术小白的我,在这份报告最终被解密后只能看懂触目惊心的一句话:将近200个政府网站会受此漏洞的影响。而且,这个漏洞有个与众不同的名字——“0day漏洞”。
在分析云安全防御大数据时,积极防御小组成员发现某条请求存在异常,用多年积累的经验判断这是一条攻击请求。随后,小组成员在靶场中验证了这条请求,发现这正是利用了一个从未公开过的漏洞,从而可以拥有任意文件读取权限,属于高危漏洞。
随即,积极防御小组向该漏洞的网站管理部门发出了预警。为网站持续不断地输出了大量的有价值的安全建议。有效避免了网站受到未知漏洞的攻击,保障了网站的安全。
其实这一漏洞也只是积极防御小组每年挖掘的多个通用漏洞中的其中一个。据不完全统计,积极防御小组每年挖掘并通报的漏洞、安全事件达到1000+。
成功捕获拦截某0day 漏洞攻击
孙子兵法道“知己知彼,百战不殆”,在网络空间的战场上,这句话同样适用,只有不断地进行漏洞挖掘,在与0day和黑产的博弈中不断提升自身安全能力,才能在网络空间的战场中生存下来。话说回来,如果《独立日》中人类战士一开始就能了解外星人的各种武器以及攻击方式,那电影是不是一小时就能结束了。
==========================
0day 的含义和定义
”零日”是一个广义术语,描述最近发现的黑客可以用来攻击系统的安全漏洞。术语”零日”指供应商或开发人员刚刚了解到缺陷,这意味着他们有”零日”来修复它。当黑客在开发人员有机会解决漏洞之前利用漏洞时,就会发生零日攻击。
零日有时被写成 0 日。漏洞、利用和攻击这三个词通常与“零日”一起使用,理解其中的区别很有帮助:
一个零日漏洞是攻击者在供应商意识到它之前发现的软件漏洞。由于供应商没有意识到,因此没有针对零日漏洞的补丁,从而攻击可能会成功。零日利用是黑客用来攻击具有先前未知漏洞的系统的方法。零日攻击是使用零日利用对受漏洞影响的系统造成损害或窃取数据。
什么是0day攻击,0day攻击如何工作?
软件通常具有安全漏洞,黑客可以利用这些漏洞造成严重破坏。软件开发人员一直在寻找漏洞来”修补”,也就是说,开发他们在新更新中发布的解决方案。
但是,有时黑客或恶意行为者会在软件开发人员之前发现漏洞。在漏洞仍然开放时,攻击者可以编写和实现代码来利用它。这被称为漏洞利用代码。
漏洞利用代码可能导致软件用户受害,例如,通过身份盗窃或其他形式的网络犯罪。一旦攻击者发现零日漏洞,他们就需要一种方法来触达有漏洞的系统。他们经常通过 社会工程 电子邮件来执行此操作,这种邮件或者其它消息据称来自已知或合法的通信者,但实际上来自攻击者。该消息试图说服用户执行打开文件或访问恶意网站等操作。这样做会下载攻击者的恶意软件,该恶意软件会渗透用户的文件并窃取机密数据。
当漏洞被人知道时,开发人员会尝试修补它以阻止攻击。但是,安全漏洞通常不会被立即发现。开发人员有时可能需要几天、几周甚至几个月才能识别导致攻击的漏洞。即使零日补丁发布后,也不是所有用户都能快速实现它。近年来,黑客在发现漏洞后不久就会更快地利用漏洞。
漏洞可以在暗网上出售换来大笔钱。一旦漏洞被发现并打上补丁,它就不再被称为零日威胁。
零日攻击特别危险,因为唯一了解它们的人是攻击者自己。一旦渗透到网络中,犯罪分子可以立即攻击,也可以坐等最有利的时间。
如何识别0day攻击
由于零日漏洞有多种形式(例如缺少数据加密,缺少授权,破坏算法,bug,密码安全问题等),检测它们可能具有挑战性。由于这些类型漏洞的性质,有关零日漏洞的详细信息只有在漏洞得到识别后才可用。
受到零日漏洞攻击的组织可能会看到来自客户端或服务的意外流量或可疑扫描活动。一些零日检测技术包括:
1.使用恶意软件的现有数据库及其行为方式作为参考。虽然这些数据库更新速度非常快,并且可以作为参考点,但根据定义,零日攻击是新的和未知的。因此,现有数据库可以告诉您的东西有限。
2.或者,某些技术根据零日恶意软件与目标系统的交互方式来查找零日恶意软件的特征。这种技术不是检查传入文件的代码,而是查看它们与现有软件的交互,并尝试确定它们是否由恶意操作导致。
3.机器学习被越来越多的用来检测来自先前记录的漏洞的数据,以根据过去和当前与系统交互的数据来建立安全系统行为的基线。可用的数据越多,检测就越可靠。
通常混合使用不同检测系统。
0day攻击的案例
最近一些零日攻击的例子包括:
2021 年:Chrome 零日漏洞
2021 年,谷歌的 Chrome 遭遇了一系列零日威胁,导致 Chrome 发出更新。漏洞源于网页浏览器中使用的 V8 JavaScript 引擎中的一个 bug。
2020 年:Zoom
在这款流行的视频会议平台中发现了一个漏洞。这个零日攻击示例涉及黑客远程访问用户的PC,如果他们运行的是旧版本的 Windows。如果目标是管理员,黑客可以完全接管他们的机器并访问他们的所有文件。
2020 年:Apple iOS
苹果的 iOS 通常被描述为最安全的主要智能手机平台。然而,在 2020 年,它成为至少两套 iOS 零日漏洞的受害者,包括一个允许攻击者远程侵入 iPhone 的零日漏洞 bug。
2019 年:Microsoft Windows,东欧
这次攻击的重点是本地升级权限,Microsoft Windows 的一个脆弱部分,并针对东欧的政府机构。零日漏洞滥用了 Microsoft Windows 中的本地权限漏洞来运行任意代码和安装应用程序,并查看和更改受被侵入应用程序上的数据。当攻击被识别并报告给 Microsoft 安全响应中心报告时,后者开发并推出了补丁。
2017 年:Microsoft Word
该零日漏洞利用侵入了个人银行账户。受害者是在不知不觉中打开恶意 Word 文档的人们。该文档显示”加载远程内容”提示,向用户显示一个弹出窗口,请求从另一个程序进行外部访问。当受害者点击”是”时,该文档在其设备上安装了恶意软件,能够捕获银行登录凭据。
Stuxnet
零日攻击最著名的例子之一是 Stuxnet。该恶意计算机蠕虫于 2010 年首次发现,但其根源可追溯到 2005 年,它影响了运行可编程逻辑控制器(PLC)软件的制造业计算机。它的主要目标是伊朗的铀浓缩工厂,以破坏该国的核计划。该蠕虫通过西门子 Step7 软件中的漏洞感染了PLC ,导致 PLC 在装配线机械上执行意外命令。Stuxnet 的故事随后被 制作成一部名为《零日》的纪录片。
如何保护自己免受零日攻击
为了获得零日保护并确保您的计算机和数据安全,个人和组织都必须遵循网络安全最佳实践。这包括:
使所有软件和操作系统保持最新状态。这是因为供应商包括安全补丁以涵盖新版本中新发现的漏洞。保持最新状态可确保您更安全。
仅使用必不可少的应用程序。您拥有的软件越多,潜在的漏洞就越多。您可以通过仅使用所需的应用程序来降低网络风险。
使用防火墙。防火墙 在保护您的系统免受零日威胁方面发挥着至关重要的作用。您可以通过将其配置为仅允许必要事务来确保最大程度的保护。
在组织内,教育用户。许多零日攻击利用人为错误。教导员工和用户良好的安全习惯将有助于保持他们的在线安全,并保护组织免受零日漏洞和其他数字威胁。
使用综合反病毒软件解决方案。卡巴斯基全方位安全软件 通过阻止已知和未知威胁来帮助保护您的设备安全。