零日漏洞市场现状(2024)
2024-10-28 03:31:0 Author: mp.weixin.qq.com(查看原文) 阅读量:6 收藏


一、引言

本研究报告基于业内资深专家的深度分享,详细探讨了软件漏洞销售这一专业领域的现状、挑战与发展趋势。随着网络安全威胁日益严峻,漏洞研究与交易已发展成为一个专业化的市场,涉及多方参与者、复杂的技术要求和严格的操作规范。

二、市场概况

2.1 历史演进

漏洞销售市场最早可追溯至iDefense和Zero Day Initiative (ZDI)这样的先驱项目。这些早期项目建立了漏洞披露的基本框架,为后续市场的规范化发展奠定了基础。值得注意的是,2003年微软发布的"可信计算备忘录"和随后推出的安全开发生命周期(SDL),将漏洞披露正式纳入软件开发流程,标志着漏洞市场进入新的发展阶段。

2.2 市场规模与价值

当前漏洞市场的估值已达到数十亿美元规模。不同类型漏洞的价格差异显著:
- 浏览器漏洞:在2013-2014年的黄金时期,单个漏洞可售价1-3万美元
- 操作系统内核漏洞:最高可达50万美元
- iOS完整漏洞利用链:可突破2000万美元大关
- 特定防护机制的绕过方案:通常在六位数以上
三、漏洞类型与技术特征
3.1 高价值漏洞分析
目前市场最受关注的漏洞类型包括:
1. 操作系统内核漏洞
   - 本地权限提升
   - 远程代码执行
   - 安全机制绕过
2. 浏览器漏洞
   - 类型混淆
   - 释放后使用
   - JIT编译器相关漏洞
3. 文档处理软件漏洞
   - PDF阅读器
   - Office套件
   - 邮件客户端
3.2 漏洞开发难度
现代软件系统采用多重防护机制,包括:
- ASLR(地址空间布局随机化)
- DEP(数据执行保护)
- CFG(控制流保护)
- VBS(基于虚拟化的安全)
这些防护措施显著提高了漏洞利用的难度。一个完整的漏洞利用链通常需要:
1. 信息泄露以绕过ASLR
2. 远程代码执行能力
3. 沙箱逃逸
4. 本地权限提升
四、市场参与者分析
4.1 买方类别
1. 软件厂商
   - 直接通过漏洞赏金计划收购
   - 目的是修复产品漏洞
   - 价格相对较低但流程透明
2. 道德买家
   - 如iDefense、ZDI等机构
   - 用于安全研究和防护升级
   - 提供合理定价和规范流程
3. 情报机构代理
   - 通过专业中介机构运作
   - 提供最高价格
   - 用途可能涉及国家安全
   - 有很多第三方买家代表着不同国家的情报机构。虽然 不建议直接去敲NSA的大门,但确实有很多中间机构愿意支付更高的价格。
4. 专业收购平台
   - Zerodium、Crowdfence等
   - 提供透明的价格表
   - 严格的验证流程
4.2 交易流程
典型的漏洞交易流程包括:
1. 初步接触与价值评估
2. 漏洞验证(通常通过视频演示)
3. 签署保密协议
4. 托管支付
5. 代码交付
6. 完成交易
五、未来趋势

5.1 技术发展

1. 防护机制不断进化

   - 虚拟化技术广泛应用

   - 人工智能辅助防护

   - 新型沙箱技术

2. 漏洞研究难度提升

   - 需要更专业的团队

   - 完整利用链价值更高

   - 单一技术难以奏效

5.2 市场变革

1. 价格持续上涨

   - 技术门槛提高

   - 市场需求增加

   - 合规要求严格

2. 团队协作增多

   - 专业分工细化

   - 技术互补

   - 风险共担

【漏洞价格举例】

以“卖家”的个人经验为例。“卖家”一直在出售漏洞,但“卖家”选择不与不道德的买家合作。虽然收入会少一些,但这是“卖家”的原则。

在2014年之前,比如向iDefense或ZDI出售一个UAF(Use After Free)漏洞,大约能获得1-3万美元。那时候通常不需要完整的漏洞链,一个或两个漏洞就够了,比如一个远程代码执行漏洞,再加上一个信息泄露漏洞来绕过ASLR。

记得Java运行时环境6(JRE6)的MSVCR71.dll让“卖家”赚了不少钱,因为这个模块没有启用动态重定位,而且包含了所有绕过数据执行保护(DEP)所需的gadget。所以如果你发现了一个浏览器远程代码执行漏洞,仅此一个就够了,因为当时Internet Explorer和Edge还没有沙箱保护。

但现在情况变得困难得多。在不太道德的市场上,价格可能是之前的10-20倍。比如CrowdFence公开宣称最高可出价40万美元。

再比如iOS的零点击漏洞。苹果开发了BlastDoor来过滤进入的短信,确保不会执行恶意代码。现在要越狱或root手机变得更难了,至少需要4-6个零日漏洞串联在一起。而且现在很少有单独的研究者能完成这样的工作。2014年时,一个人还可能找到足够的漏洞来实现代码执行。但现在,特别是在启用了HVCI等先进缓解措施的内核中,获得执行权限变得极其困难。你可能只能获得读写权限,但即使这样也很困难,因为还要面对代码签名等其他保护机制。

这就是为什么价格涨得这么高。记得2014年时,Zerodium对iOS和Android的完整零点击漏洞链最高出价200-250万美元。现在通过Voln Point和CrowdFence可以拿到900万美元。更极端的例子是Operation Zero,他们在Twitter页面上直接声明是唯一的俄罗斯支持的漏洞收购项目,明确表示"对非北约国家友好"。他们开出2000万美元的价格,这笔钱足够退休了。但要考虑你在向谁出售,这实际上是在叛国,他们会用这些漏洞攻击你的国家。这个选择权在你。

注:本报告仅供学术研究参考,不构成任何操作建议。任何漏洞研究活动都应当遵守相关法律法规。

推荐阅读

闲谈

  1. 中国网络安全行业出了什么问题?

  2. 国内威胁情报行业的五大“悲哀”

  3. 安全产品的终局

  4. 老板,安全不是成本部门!!!


威胁情报

1.威胁情报 - 最危险的网络安全工作
2.威胁情报专栏 | 威胁情报这十年(前传)
3.网络威胁情报的未来
4.情报内生?| 利用威胁情报平台落地网空杀伤链的七种方法
5.威胁情报专栏 | 特别策划 - 网空杀伤链

APT

  1. XZ计划中的后门手法 - “NOBUS”

  2. 十个常见的归因偏见(上)

  3. 抓APT的一点故事

  4. 揭秘三角行动(Operation Triangulation)一

  5. 闲话APT报告生产与消费

  6. 一名TAO黑客的网络安全之旅

  7. NSA TAO负责人警告私营部门不要搞“黑回去”

  8. 我们为什么没有抓到高端APT领导者的荷兰AIVD

  9. 抓NSA特种木马的方法


入侵分析与红队攻防

  1. 入侵分析与痛苦金字塔

  2. 资深红队专家谈EDR的工作原理与规避

  3. TTP威胁情报驱动威胁狩猎


天御智库

  1. 独家研判:五眼情报机构黑客纷纷浮出水面

  2. 美军前出狩猎并不孤单,美国网络外交局优先事项分析

  3. 《国际关系中的网络冲突》


文章来源: https://mp.weixin.qq.com/s?__biz=MzU0MzgyMzM2Nw==&mid=2247486041&idx=1&sn=1c9dc7508ba7d09c8f7c88f3018bae1d&chksm=fb04c931cc734027d17b83f774416085b6c492306ccf49f76cb99fa1fbf8b03c7ff6af23a781&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh