¿Por qué querría un atacante sentarse en un ataque de día cero?

92

Estoy tratando de entender por qué un atacante querría esperar para usar un exploit de día cero.

He leído que un atacante no quiere perder el día cero porque, en general, es muy costoso obtenerlo en primer lugar, pero para mí no está claro qué se entiende por "desperdicio". La comunidad (por ejemplo, los investigadores de seguridad) puede descubrir Cero-días, lo que la haría inútil. En este sentido, el día cero ha sido desperdiciado por la inacción del atacante. ¿Existe algún riesgo con el uso del exploit de día cero demasiado pronto? Parece que un atacante querría minimizar las posibilidades de que se descubra el día cero, y así usarlo lo más rápido posible.

Pregunta: ¿Qué factores harían que el atacante esperara para usar un exploit de día cero?

    
pregunta jonem 03.12.2018 - 01:33
fuente

7 respuestas

158

Es más probable que queme un 0 día usándolo que sentado en él.

Hay un buen equilibrio entre estar sentado en un día 0 tanto tiempo que otra persona lo descubre y lo parchea, y lo usa demasiado pronto e innecesariamente, quemarlo . El saldo tiende a pesar a favor de esperar más tiempo, ya que un buen día será lo suficientemente oscuro como para que no se encuentre rápidamente. El mayor riesgo en realidad no es el descubrimiento en ese caso, sino la obsolescencia cuando el código vulnerable se vuelve a escribir o se elimina por razones completamente no relacionadas, y el exploit de 0 días ya no funciona.

La mayoría de las veces, sin embargo, un atacante simplemente no necesita para usarlo. Si tengo un valioso exploit de escalado de privilegios de Linux, ¿por qué lo usaría cuando un poco de reconocimiento adicional me dice que puedo usar un exploit antiguo contra un demonio privilegiado parcheado incorrectamente? Mejor mantenerlo en el fondo de días lluviosos.

Hay algunas otras razones por las que se pueden mantener 0 días por períodos prolongados:

  1. Algunas personas simplemente acumulan 0 días por el simple hecho de hacerlo. Esto es demasiado común.

  2. Tal vez tomaste prestado el día 0 a alguien, en cuyo caso quemarlo lo molestaría.

  3. A veces, un corredor de 0 días está sentado sobre ellos mientras espera al cliente correcto.

  4. El día 0 puede ser inútil por sí solo, ya que necesita estar encadenado con otras vulnerabilidades para funcionar.

Hubo algunas investigación interesante presentada en BH US que analizó la vida de 0 días.

    
respondido por el forest 03.12.2018 - 04:09
fuente
44
  1. El día 0 depende de que se descubra que otra vulnerabilidad se está usando efectivamente. Por ejemplo, no puede usar una escalada de privilegios si no tiene la ejecución de código en primer lugar. Esto también puede funcionar a la inversa, donde le gustaría que se encadenara otro día después del que tiene actualmente.

  2. El atacante no tiene un objetivo digno para usarlo. También señalaré que el atacante podría no explotar todo de una vez, porque si se descubre el día 0 no podrá usarlo en el futuro. Lo que quiere hackear puede que ni siquiera exista cuando encuentre el día 0.

  3. La explotación del día 0 puede ser ilegal. La gente aún puede ganar dinero con este dinero vendiéndolo al mejor postor (esto incluye negociar el dinero que obtiene de un programa de recompensas de errores)

respondido por el Anon 03.12.2018 - 05:51
fuente
28

Porque las viejas formas son las mejores. ¿Por qué gastar un día 0 caro cuando puedes usar un ataque SMBv1 o SQLi dulce que te dará el mismo resultado? El uso de un día de 0 días puede resultar en el descubrimiento de una respuesta forense que reduce el valor y elimina la cantidad de objetivos contra los que será efectivo.

    
respondido por el McMatty 03.12.2018 - 02:55
fuente
21

Desde el punto de vista del atacante, un exploit de día cero es un recurso valioso porque no se conoce públicamente. Esto le da al atacante el elemento de sorpresa cuando se implementa, ya que el objetivo no podrá defenderse de forma proactiva contra él.

Cada vez que se usa un día cero, existe la posibilidad de que el objetivo lo descubra y el proveedor de software solucione la vulnerabilidad. Una vez que se cierra la vulnerabilidad, la utilidad del exploit se reduce considerablemente y se limita a los objetivos que no han actualizado el software. Esto se conoce como "quema" la explotar.

Debido a que el objetivo de la mayoría de los atacantes hoy en día es ganar dinero directa o indirectamente (por ejemplo, robando información personal del objetivo y usándola para cometer fraude de identidad), las explotaciones de día cero tienen valor económico. El exploit pierde su valor si se quema y se vuelve inefectivo. En esencia, un día cero es un arma valiosa y prescindible que debe guardarse para usarse contra objetivos de alto valor que no pueden ser explotados a través de vulnerabilidades conocidas públicamente.

Esto significa, por ejemplo, que un atacante que se dirige a un sistema que ejecuta una versión anterior de un software en particular con vulnerabilidades conocidas querría usar un exploit existente, disponible públicamente, en lugar de usar el exploit de día cero y el riesgo de quema. eso. ¿Por qué desperdiciar un recurso valioso cuando puede realizar el trabajo con una solución menos costosa?

    
respondido por el bwDraco 03.12.2018 - 04:54
fuente
12

Tal vez un atacante con 0 días está esperando una buena oportunidad.

La mayoría de los objetivos tienen sus altibajos. Si el objetivo es hacer estragos y hacer tantos daños como sea posible, entonces usar un 0 día inmediatamente después de descubrirlo podría no ser la mejor idea.

Algunos objetivos tienen períodos congelados, donde carecen de mano de obra y no deben tocar sus entornos críticos. Algunos otros tienen períodos críticos para lanzar un nuevo producto, o manejar un conjunto de datos particularmente sensible.

La explotación de la vulnerabilidad que se encontró antes de tal evento significa que hay un riesgo de que se descubra antes de que ocurra. Y así el atacante pierde una oportunidad de golpear bastante fuerte.

Debería esperar hasta que sepa lo suficiente sobre un objetivo para atacar exactamente dónde y más importante cuando duele, y será un gran premio.

En 2017, hubo una campaña de crypto ransomware que se enfocó en empresas durante las horas del almuerzo.

Eso funcionó muy bien, la gente cerró sus computadoras, fue a algún lugar para comer, y cuando todos volvieron a su oficina a las 2 P.M, todo estaba ya encriptado. No había nadie para hacer sonar la alarma.

Ahora aplique este ataque justo antes de una reunión importante de la junta directiva al final del año financiero, o durante un período de atención mediática al objetivo. Podría dañar gravemente la imagen de este objetivo y costar millones si no miles de millones. Mientras se realiza un ataque en algún otro punto, es posible que no se note en absoluto.

    
respondido por el Kaël 03.12.2018 - 14:55
fuente
6

Cuando infectas una computadora y usas un exploit de 0 días, a menudo se deja atrás la evidencia de cómo entraste. Evitar dejar evidencia es tan difícil como tener un software que no tenga ninguna vulnerabilidad; casi imposible.

Muchos sistemas informáticos no son parcheados regularmente; en un sistema así, un antiguo exploit por lo general te pondrá bien. Esta hazaña siendo descubierta ... no hace mucho. Quiero decir, si tomaste más del 20% de las computadoras en Internet con una vulnerabilidad específica, podrías notar un aumento en las tasas de parches. Pero puede que no.

Por otra parte, un exploit de 0 días puede usarse para penetrar en objetivos conscientes de la seguridad. Si te preocupa el objetivo específico , y trabajan para estar seguros, el exploit de 0 días aún puede hacerte entrar.

Tu ataque puede, sin embargo, ser observado. Y una vez notado, podrían resolver su exploit. Y una vez que resuelven tu exploit, pueden compartirlo con el proveedor, quien puede parchearlo; o podrían hackear un parche ellos mismos.

Y ahora, su exploit de 0 días tiene parches publicados, y cada sistema preocupado por la seguridad en el planeta bloquea su uso. Así que mañana, cuando realmente quieras entrar en un servidor seguro en algún lugar, necesitarás un exploit diferente y nuevo . Has quemado tu hazaña.

No se notará cada uso de su exploit, y no todos los avisos resultarán en un parche, pero cada uso aumenta la posibilidad de que llegue un parche que rompa su exploit.

Podemos ilustrar esto con algunos ejemplos de piratería informática patrocinada por el estado. Stuxnet utilizó cuatro fallas de día cero (contra las que no había seguridad). Su descubrimiento llevó a los 4 a ser parcheados, "quemando" su utilidad en el futuro. A cambio, se rompió una pila de costosas centrifugadoras en Irán, lo que frenó la investigación nuclear iraní.

Hizo el trabajo de múltiples misiles de crucero, con mucho menos riesgos diplomáticos, humanitarios y militares.

    
respondido por el Yakk 04.12.2018 - 20:27
fuente
5

Otra razón es que no pueden usarlo (de manera óptima) en este momento. Algunos ejemplos son:

  • Es posible que tengan un objetivo específico como un diplomático en mente, pero el exploit requiere estar en la misma red Ethernet / WiFi o acceso físico. Por lo tanto, tienen que esperar hasta que se cumpla esta condición o organizarla para que se cumpla la condición.

  • Todavía no tienen suficiente información sobre el objetivo. Por ejemplo, necesitan encontrar una forma en la que el servidor está alojada la información interesante. Si usan la vulnerabilidad poco antes de encontrar los archivos, es más probable que se detecten y la vulnerabilidad se queme.

  • Actualmente no tienen los recursos / mano de obra para lanzar el ataque porque actualmente están ocupados con otro objetivo o los empleados de su departamento para lanzar los ataques están actualmente enfermos (incluso los malos se enferman). / p>

  • Carecen de otras herramientas necesarias para usar de manera efectiva. Es posible que tenga un exploit de correo electrónico para ejecutar su código cuando la víctima abre el correo, pero todos los escáneres de virus detectan todas sus herramientas RAT / botnet-clients / ransom-ware, por lo que sería inútil quemarlo.

respondido por el H. Idden 03.12.2018 - 20:27
fuente

Lea otras preguntas en las etiquetas