一探0day漏洞交易背后的黑市交易

还记得卡巴前一阵子报道的微软 0day 漏洞  CVE-2019-0859  吗？？？

实际上，这个 0day 漏洞并不是攻击者挖掘而得，而是通过向 0day 漏洞提供商购买从而进行利用。

证据表明，一些具有国家背景支持的 APT 组织除了开发自己的内部工具，会定期从第三方实体购买 0day 漏洞。 卡巴近日披露了一些关于该提供商背后的故事。

神秘黑客的0day交易

卡巴实验室研究人员揭露，在过去的三年里，一名神秘的黑客向至少三个网络间谍组织以及网络犯罪团伙销售 Windows 0day 漏洞。

这个神秘黑客既不是 NSO ，也不是 Hacking Team ，而是 Volodya ，一个在2016年就开始售卖 0day 漏洞的黑客。该黑客曾在2016年使用昵称 BuggiCorp，在Exploit.in 网络犯罪论坛上公开出售 Windows 0day 漏洞，成为各大科技新闻网站的头条新闻。

大多数漏洞交易都是私下进行，很少能看到黑客在一个公开论坛上出售 Windows 零日漏洞。在这次公开售卖中， Volodya 多次降低要价，从最初的9.5万美元降至8.5万美元，最终把零日漏洞卖给了一个网络犯罪集团。

CVE-2019-0859是Volodya 出售的最新 0day ，现在已经被一个专注于财务盗窃的网络犯罪集团滥用。另一个 Windows 漏洞 CVE-2016-7255 ，则与俄罗斯 APT组织APT28 的活动相关联。

除了 0day 之外， Volodya 还开发针对已修复漏洞的攻击利用，例如 1day ，或利用旧漏洞，这些漏洞被认为仍可用于未修补漏洞的计算机。 Volodya 似乎已经将 0day 开发利用作为了职业选择。

0day 地下交易

“零日漏洞”，早已作为一种产品在黑市当中交易流通。这类技术往往包含着企业当中某些软件的安全漏洞信息或者窥探敏感隐私信息的途径。0day漏洞市场一直由于其天然的隐秘性而不为人知。

大家肯定有疑问：漏洞市场背后都有哪些0day供应商?是怎么支付的?他们怎样结识上的?哪些漏(ruan)洞(jian)值(an)钱(quan)?这个市场也谈关系吗？

对那些专门从中获利的中间商而言，零日漏洞只是一种稀松平常的可交易商品，暗网上有一个名为“真正交易”（“therealdeal”）的黑市，它的主要业务是向黑客兜售零日攻击手段。“真正交易”使用Tor匿名技术加密连接，交易则使用比特币，以隐藏买家、卖家、管理员的身份，吸引高端黑客在这里售卖零日漏洞、源代码，甚至提供黑客雇佣服务。

他们甚至会为这类黑客技术编写一套完整的价格清单。

零日漏洞中间商、初创企业Zerodium公司曾经破天荒地公布了一份不同类型数字化入侵技术与软件目标的价格清单。这份清单是该公司从某个黑客组织手中所买到，并随后通过订阅服务的方式将其转售给客户——其中还包括多个政府机构。这份清单列出了面向数十种不同应用程序及操作系统的具体黑客攻击方法，每一项都提供极为详细的实现方式。其详尽程度在黑客技术交易黑市当中都是极为罕见的。

最后小编想说， 工欲善其事，必先利其器！ 0day 宛如窈窕淑女，只可远观，不可随意撒网式的使用；好用的 Nday 才是网络安全人员的手中利器，普遍的 APT 组织都会把好用的 Nday 漏洞纳入他们的“武器库”。当然，道高一尺，魔高一丈！也许还有好多故事还在发生着！

来源：

黑鸟、E安全、51CTO

- End -

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com

↙ 点击下方“阅读原文”，查看更多资讯