FIND研究員:李啟榮
近年來隨著駭客發掘更多的零時差攻擊(Zero-day attack)漏洞,可讓駭客能乘人不備發動意料之外的攻擊,零時差攻擊不但防不勝防,而且對各項軟硬體服務、基礎設施造成難以挽回的傷害;駭客除了披露新漏洞來發動零時差攻擊之外,也將漏洞造成的損失以金錢衡量,成為所謂的「漏洞黑市(Exploit black market)」,類似於軍火交易的模式,使駭客能藉由漏洞災害規模的相對應黑市價格,購買針對該漏洞的攻擊工具,並成為另類的軟體漏洞量化衡量指標。
【漏洞黑市之發展,與資安因應之道】
零時差攻擊無所不在、無時不刻的發生,當駭客發現漏洞的的時候,就等待時機發動出其不意的突襲,令受害對象措手不及而遭受駭客重創。根據美國智庫蘭德公司於2014年的一份報告指出,駭客所揭露的零時差攻擊漏洞,可以在受害軟體釋出更新檔補救之前,在駭客之間的「黑市」進行秘密交易;蘭德公司又在報告中指出,2014年的漏洞黑市價格可高達20至30萬美金,甚至曾有喊價達100萬美金的大型漏洞,可見漏洞黑市對資安的影響甚鉅。
另一方面,有鑑於零時差漏洞成為無聲無息的資安威脅,部分軟體業者也發現零時差漏洞帶來的可觀損失,藉由舉辦抓漏洞大賽來發放獎金,也同樣吸引駭客與資安專家躍躍欲試;資安專家協助廠商揪出零時差漏洞的獎金,就如同漏洞黑市一般價值連城,可看出廠商對零時差漏洞的危害,絲毫不敢怠慢,以免駭客藉由漏洞攻破系統,造成比獎金更慘重的損失。
【漏洞黑市代表案例:Zoom】
為進一步探討零時差漏洞在黑市上被揭露後,對資安帶來的衝擊規模,故在此引用零時差漏洞黑市案例,同時探討漏洞預防補救之道,來減少未來更嚴重的漏洞披露與危害。近期以視訊軟體Zoom為較具代表性的漏洞黑市案例,並進一步介紹案例經過與預防之道。
今年四月Zoom視訊軟體爆發零時差漏洞,允許駭客能藉此發動遠端攻擊;但由於該漏洞為全新漏洞,且攻擊技術門檻較高,需要藉由其他攻擊程式才能發動攻擊,故黑市價格一度預估50萬美元;由於此一影響涉及各項產業界、學術機構與政府機關,因此被各國資安主管機關紛紛下令停用Zoom,並改用其他同類視訊軟體。
後來,Zoom又被爆出資料外洩事件,將近50萬筆個資在黑市上被流出盜賣,每個帳號甚至被不到0.01美元賤賣,如此駭客可利用盜來的帳號密碼,對Zoom與使用相同帳號密碼的其他軟體發動攻擊;依據資安專家之建議,除了要儘快修改密碼以外,也應避免在不同網站上使用相同的帳號密碼,同時以密碼管理員將不同網站個別的帳號密碼集中管理。
【小結】
零時差漏洞就是最關鍵的要害,在發作之前是無聲無息,不為人所知的隱患,一旦發作時也無從預測其攻擊方式和受害規模;另由於新的高危險零時差漏洞在黑市內價值連城、一旦被通報修補將會讓漏洞貶值,令駭客攻擊力道下降而減少近一步危害,使得漏洞黑市的攻防成為爭分奪秒的挑戰。
資安專家除了藉由補救漏洞與駭客賽跑外,還要仰賴使用者的舉手之勞,養成備份資料、變更帳號密碼、減少惡意程式接觸等良好習慣,除減少資安專家逐一揪出零時差漏洞的負擔外,也能提升使用者自身的隱私防護,避免駭客經由漏洞來重創網站並盜賣個資。
資料來源:
1.Ablon, L., Libicki, M. C., & Golay, A. A. (2014). Zero-Day Vulnerabilities in the Black and Gray Markets. In L. Ablon, M. C. Libicki, & A. A. Golay, Markets for Cybercrime Tools and Stolen Data: Hackers' Bazaar (pp. 25-28). Santa Monica, CA: RAND Corporation. Retrieved May 25, 2020, from https://www.jstor.org/stable/10.7249/j.ctt6wq7z6.11
2.Abrams, L. (2020, April 13). Over 500,000 Zoom accounts sold on hacker forums, the dark web. Retrieved May 27, 2020, from Bleeping Computer: https://www.bleepingcomputer.com/news/security/over-500-000-zoom-accounts-sold-on-hacker-forums-the-dark-web/
3.Franceschi-Bicchierai, L. (2020, April 15). Hackers Are Selling a Critical Zoom Zero-Day Exploit for $500,000. Retrieved May 27, 2020, from Vice.com: https://www.vice.com/en_us/article/qjdqgv/hackers-selling-critical-zoom-zero-day-exploit-for-500000
4.Liberatore, S. (2020, April 14). More than 500,000 Zoom user credentials have been stolen and sold on the dark web for less than a PENNY each. Retrieved May 27, 2020, from Daily Mail: https://www.dailymail.co.uk/sciencetech/article-8218723/More-500-000-Zoom-user-credentials-sold-dark-web-PENNY-each.html
沒有留言:
張貼留言