Perché mai un utente malintenzionato desidera partecipare a un exploit zero-day?

È più probabile che tu bruci un 0day usandolo piuttosto che sederti sopra.

C'è un buon equilibrio tra stare seduti su un giorno così lungo che viene scoperto da qualcun altro e corretto, e usandolo troppo presto e inutilmente, masterizzandolo . L'equilibrio tende a pesare a favore dell'attesa più a lungo, dal momento che un buon 0day sarà abbastanza oscuro da non essere trovato rapidamente. Il rischio maggiore in realtà non è la scoperta in quel caso, ma l'obsolescenza quando il codice vulnerabile viene riscritto o rimosso per ragioni completamente indipendenti e l'exploit 0day non funziona più.

La maggior parte delle volte, tuttavia, un utente malintenzionato semplicemente non ha bisogno di per usarlo. Se ho un prezioso exploit di escalation di privilegi locali di Linux, perché dovrei usarlo quando un po 'di ricognizione extra mi dice che posso usare un vecchio exploit contro un daemon privilegiato con patch errato? Meglio tenerlo nel fondo del giorno di pioggia.

Ci sono alcuni altri motivi per cui 0 giorni possono essere conservati per lunghi periodi:

1. Alcune persone semplicemente accumulano 0 giorni per il gusto di farlo. Questo è fin troppo comune.

2. Forse hai preso in prestito lo 0day da qualcuno, nel qual caso masterizzarlo lo farebbe incazzare.

3. A volte un broker di 0 giorni è seduto su di loro mentre aspetta il client giusto.

4. Il 0day potrebbe essere inutile da solo, avendo bisogno di essere incatenato con altri exploit per funzionare.

Ci sono state alcune ricerche interessanti presentate a BH US che hanno analizzato la vita di 0 giorni.

1. Il giorno 0 dipende da un'altra vulnerabilità scoperta per essere utilizzata in modo efficace. Ad esempio, non è possibile utilizzare un'escalation di privilegi se non si ha l'esecuzione di codice in primo luogo. Questo può anche funzionare in un altro modo in cui desideri impostare un altro 0 giorno per catena dopo quello che hai attualmente.

2. L'attaccante non ha un obiettivo degno di usarlo. Sottolineerò anche che l'attaccante potrebbe non sfruttare tutto in una volta perché se viene scoperto lo 0 giorni non sarà più possibile utilizzarlo in futuro. Quello che vuoi hackerare potrebbe non esistere nemmeno quando trovi il giorno 0.

3. Sfruttare il giorno 0 potrebbe essere illegale. Le persone possono comunque ricavarne dei profitti vendendoli al miglior offerente (questo include la negoziazione per i soldi che ottieni da un programma di bug bug)

Perché i vecchi modi sono i migliori. Perché soffiare un costoso 0-day quando puoi semplicemente usare un dolce attacco SMBv1 o SQLi che ti darà lo stesso risultato? L'utilizzo di uno 0 giorni può comportare la scoperta di una risposta forense riducendo il valore ed eliminando il numero di bersagli contro cui sarà efficace.

Dal punto di vista dell'attaccante, un exploit zero-day è una risorsa preziosa perché non è pubblicamente noto. Questo dà all'attaccante l'elemento sorpresa quando viene effettivamente schierato, in quanto l'obiettivo non sarà in grado di difendersi proattivamente contro di esso.

Ogni volta che viene utilizzato un giorno zero, c'è la possibilità che venga scoperto dalla destinazione e dalla vulnerabilità corretta dal fornitore del software. Una volta chiusa la vulnerabilità, l'utilità dell'exploit viene notevolmente ridotta e limitata agli obiettivi che non hanno aggiornato il software. Questo è noto come "masterizzazione" del sfruttare.

Poiché l'obiettivo della maggior parte degli attaccanti oggi è quello di guadagnare direttamente o indirettamente denaro (ad esempio rubando informazioni personali dall'obiettivo e utilizzandolo per commettere frodi sull'identità), gli exploit zero-day hanno un valore economico. L'exploit perde il suo valore se viene bruciato e reso inefficace. In sostanza, uno zero-day è un'arma preziosa e spendibile che dovrebbe essere salvata per l'uso contro obiettivi di alto valore che non possono essere sfruttati attraverso vulnerabilità pubblicamente note.

Ciò significa, ad esempio, che un utente malintenzionato che si rivolge a un sistema che esegue una versione precedente di un particolare software con vulnerabilità note vorrebbe utilizzare un exploit esistente e pubblicamente disponibile piuttosto che utilizzare l'exploit zero-day e la masterizzazione dei rischi esso. Perché sprecare una risorsa preziosa quando puoi portare a termine il lavoro con una soluzione meno costosa?

Forse un attaccante con uno 0day sta aspettando una buona opportunità.

La maggior parte dei bersagli ha i suoi alti e bassi. Se il tuo obiettivo è distruggere il caos e fare il maggior numero possibile di dighe, usare uno 0day subito dopo averlo scoperto potrebbe non essere l'idea migliore.

Alcuni obiettivi hanno periodi congelati, in cui mancano risorse umane e non devono toccare i loro ambienti critici. Alcuni altri hanno periodi critici per lanciare un nuovo prodotto o gestire un insieme di dati particolarmente sensibile.

Sfruttare la vulnerabilità rilevata prima di tale evento, significa che c'è il rischio che venga scoperto prima che accada. E così l'attaccante perde un'opportunità per colpire piuttosto duramente.

Dovrebbe aspettare finché non ne sa abbastanza su un bersaglio da colpire esattamente dove e cosa più importante quando fa male, e sarà un jackpot.

Nel 2017, c'è stata una campagna di crittografia ransomware che ha colpito i compagni durante le ore del pranzo.

Funzionava bene, le persone chiudevano i loro computer, andavano da qualche parte a mangiare e quando tutti tornavano al loro ufficio alle 2 di mattina, tutto era già stato cifrato. Nessuno era lì per suonare il campanello d'allarme.

Ora applica questo attacco poco prima di una riunione del consiglio importante alla fine dell'anno finanziario, o durante un periodo di attenzione mediatica verso il bersaglio. Potrebbe danneggiare gravemente l'immagine di questo target e costare milioni se non miliardi. Durante l'esecuzione di un attacco in un altro punto potrebbe non essere notato affatto.

Quando infetti un computer e usi un exploit da 0 giorni, le prove di come sei arrivato spesso vengono lasciate indietro. Impedire di lasciare qualsiasi prova è tanto difficile quanto avere un software che non ha exploit in esso; quasi impossibile.

Molti sistemi di computer non vengono regolarmente riparati; su un sistema del genere, un vecchio exploit di solito ti fa andare bene. Questo exploit che viene scoperto ... non fa molto. Voglio dire, se prendi il 20% dei computer su Internet con un exploit specifico, potresti notare un aumento della frequenza delle patch. Ma non potresti.

Un exploit di 0 giorni, d'altra parte, può essere utilizzato per irrompere in obiettivi attenti alla sicurezza. Se ti interessa il target specifico e funzionano in sicurezza, l'exploit di 0 giorni potrebbe ancora farti entrare.

Il tuo attacco può, tuttavia, essere notato. E una volta notato, potrebbero elaborare il tuo exploit. E una volta che hanno scoperto il tuo exploit, potrebbero condividerlo con il venditore, che potrebbe correggerlo; oppure potrebbero hackerare una patch loro stessi.

E ora, il tuo exploit di 0 giorni ha pubblicato le patch e ogni sistema attento alla sicurezza del pianeta ne blocca l'utilizzo. Quindi, domani, quando vuoi davvero entrare in un server sicuro da qualche parte, avrai bisogno di diverso e nuovo exploit. Hai bruciato il tuo exploit.

Non tutti gli utilizzi del tuo exploit saranno notati, e non ogni avviso produrrà una patch, ma ogni utilizzo aumenta le probabilità che arrivi una patch che interrompa il tuo exploit.

Possiamo illustrare questo con alcuni esempi di hacking computerizzato sponsorizzato dallo stato. Stuxnet utilizzava quattro difetti zero-day (che non c'era sicurezza contro). La sua scoperta ha portato a rattoppare tutti e 4 i pezzi, "bruciando" la loro utilità in futuro. In cambio, una pila di costose centrifughe in Iran ha rotto, rallentando la ricerca nucleare iraniana.

Ha fatto il lavoro di missili da crociera multipli, con rischi molto meno diplomatici, umanitari e militari.

Un altro motivo è che non possono usarlo (in modo ottimale) al momento. Gli esempi sono:

• Potrebbero avere un obiettivo specifico come un diplomatico in mente ma l'exploit richiede di essere nella stessa rete Ethernet / WiFi o di accesso fisico. Quindi devono attendere che questa condizione sia soddisfatta o organizzarla in modo che la condizione sia soddisfatta.

• Non hanno ancora abbastanza informazioni sull'obiettivo. Ad esempio hanno bisogno di trovare un modo su quale server sono ospitate le informazioni interessanti. Se usano l'exploit poco prima di trovare i file, tanto più è probabile che vengano rilevati e l'exploit venga masterizzato.

• Al momento non hanno risorse / forza lavoro per lanciare l'attacco perché sono attualmente occupati da un altro obiettivo o i dipendenti del loro dipartimento per lanciare gli attacchi sono attualmente malati (anche i malintenzionati si ammalano).

• Mancano altri strumenti necessari per un utilizzo efficace. Potrebbero avere un exploit Email per eseguire il loro codice quando la vittima apre la posta ma tutti gli strumenti RAT / botnet-clients / ransom-ware sono attualmente rilevati da tutti gli antivirus, quindi sarebbe inutile masterizzarli.