揭秘0 day漏洞销售游戏的阴暗发展之路

0 day漏洞交易的热度回落，但访问即服务却走向热门。

视频会议服务Zoom算是COVID-19大流行时代的软件成功案例之一。尽管该领域存在很多新兴企业和成熟的对手，但Zoom还是成为大流行期间家喻户晓的存在。但是随着Zoom的蓬勃发展，暗网中销售0 day漏洞的黑客们开始打起了它的主意。

2020年4月，据外媒报道称，黑客正在暗网上以50万美元的价格出售一个允许在Windows计算机上远程执行代码的Zoom 0 day漏洞。除此之外，黑客还在出售另一个影响Macs操作系统的Zoom 0 day漏洞，只是该漏洞的危险级别相对较低，存在实现难度。

网络安全研究公司Recorded Future的网络犯罪和地下情报主管Roman Sannikov（其团队专门跟踪和调查网络犯罪分子、非国家资助的极端分子和黑客主义者）表示，整个买方、卖方和交易经纪人交织的黑市生态系统都是通过一系列交易和数字握手（digital handshake）来开展业务的，这在大多数人看来存在道德争议。

他表示，黑客想要在黑市上出售0 day漏洞存在很多理由。一方面，根据漏洞的种类以及所影响的软件类型，它们的收益要比从正式漏洞悬赏项目中获得的收益可观得多。另一方面，他们可能也想利用这些漏洞破坏维护软件的组织或使用该软件的组织。

但是，黑客将单个0 day漏洞出售给另一个人，以助其入侵目标组织已经不再是Recorded Future公司在暗网上观察到的主流交易形式。

从0 day漏洞销售到“访问即服务”（Access-as-a-Service）

根据Recorded Future公司调查结果显示，目前来看，直接出售发掘的0 day漏洞已经不再是暗网市场上的主流形式，黑客们更倾向于出售他们利用这些漏洞获得的访问权限。这些访问权限可用于部署勒索软件或恶意软件，使用公司计算机系统创建僵尸网络，窃取专有信息等等。这种向“访问即服务”的重大转变与全球COVID-19大流行存在密切关系。

Sannikov解释称，

威胁行为者就好比是制造了一把开门的钥匙。他们拍了照片（或系统内容的屏幕快照）作为证据，然后将访问权出售或拍卖给别人。这个人为了监视房间，可能会留下某种嗅探器或设备，以收集更多信息并将其出售。但是，研究人员无从得知该漏洞是什么，除非从威胁行为者处骗取信息或是购买该漏洞。这就是市场的商品化和专业化表现。

网络安全研究和防御公司GroupSense的威胁情报服务主管Mike Fowler表示，毫不意外，这场大流行已经导致暗网流量激增，目的就是寻找可用于攻击远程工作人员的0 day漏洞。我们发现，在暗网市场中，非管理员账户的费用是100美元，而仅管理员账户的访问权限就要价高达数万美元。

黑市和灰市

虽然漏洞悬赏项目代表组织和独立黑客（或黑客团队）之间的交易合法化，在这种模式中，白帽黑客根据一系列披露规则在发布漏洞悬赏项目的组织系统和网络中发掘漏洞，并以此获取一定金额的奖励。但是黑市漏洞市场却为不道德的黑客提供了高价售卖0 day漏洞的机会，一般来说，这种高价都是任何组织难以提供的。

“购买漏洞来利用它们”与“购买漏洞来修复它们”之间是紧张对立的关系，对解释整个漏洞市场如何继续蓬勃发展大有帮助。虽然存在一些软件开发人员或企业的漏洞购买者从暗网中获得0 day漏洞以进行修补，但大多数情况却显然并非如此。根据一项数据调查结果显示，暗网上0 day漏洞的投资回报可能达到数百万美元，收益可达付出的10-100倍之多。

除此之外，利用漏洞的民族国家与网络犯罪组织之间的界线通常也模糊不清。执法部门和国家情报机构很少在暗网上购买0 day漏洞或“访问即服务”功能；相反地，他们通常会与NSO Group、Gamma International或Memento Labs等所谓的“合法拦截”公司进行合作。

但是，“合法拦截”公司同样是存在争议的。根据《公民实验室》（The Citizen Lab）发布的一份报告指出，半岛电视台的记者、制片人、主持人和管理人员的iPhone受到了iMessage 0 day攻击的破坏，而该漏洞正是由NSO集团提供给其民族国家客户使用的。

专门监视此类交易的威胁情报网络安全研究人员表示，在暗网中进行0 day漏洞交易很少在公众视野内进行。他们要求匿名以保持该访问权限。大多数0 day交易市场都是半私密或完全私密的，并且由中间人负责运营，他们希望买卖双方“首先树立自己的信誉”。

研究人员称，0 day交易市场中的参与者大多数来自俄罗斯社区，或者主要是说俄语的社区。一些受密码保护的市场还可用于其他交易，例如非法毒品或武器交易。一些交易是非常复杂的。你必须支付1000美元只为看一眼漏洞利用及其目标。如果有人想要出售一个漏洞利用，可能要经过一系列尤为复杂的操作，所以你不用担心被骗的问题。

这一过程包括为交易经纪人提供建立可靠漏洞销售信誉的参考清单，将漏洞的全部金额支付给经纪人控制的代管账户，并提供一段代码来确定该漏洞的真实性。经纪人通常使用模糊的属于来指代受影响的组织，例如“财富100强公司”或“一个拥有1200名员工且业务价值100亿美元的企业网络”，来处理买卖双方之间的初步沟通。

研究人员指出，0 day漏洞的价格具体取决于包含该漏洞的软件，由于市场普及率较广，Facebook、iOS漏洞利用以及Edge和Internet Explorer是目前市场上最昂贵的软件。

这种购买者获取漏洞并将其转售或将其包含在更复杂的漏洞利用链中的动力，将在未来几年继续刺激卖方对0 day市场的兴趣。最终，它会完全发展成为一场数字游戏。