漏洞知多少:一个"好"漏洞能给黑客带来多少收益
-
作者:火绒安全
-
发布时间:2018-05-16
-
阅读量:2218
一般的网络用户都很讨厌漏洞的存在,正如黑客都很喜欢漏洞的存在。当然,漏洞之所以被"偏爱",是因为给黑客带去的收益动辄就是几百万。即使是漏洞在收购平台,出价也是大家难以想象的,一个漏洞收购价格在几十万至上千万人民币不等。
在漏洞收购公司"ZERODIUM"(zerodium.com/program.html)的移动平台漏洞价目表中,可以看到,苹果iOS系统的RJB Zero Click(零点击、远程、永久越狱)漏洞以150万美金的起步价格高居榜首。一些常见软件的漏洞,如Chrome浏览器漏洞,价格在5至15万美元之间,安卓系统漏洞价格则在1.5万至10万美元之间。而微信、Telegram、iMessage等流行社交软件的0day漏洞收购价格也有着50万美金起步的高价。
而在电脑的桌面系统/服务器系统上,由于漏洞数量太多,单个漏洞价格相较移动平台有所降低。其中Windows系统的Win RCE Zero Click(零点击、远程、代码执行)漏洞以30万美元起步的价格居于榜首,其价格会根据漏洞的影响范围而浮动,如"永恒之蓝"这种涉及主流Windows系统的超级漏洞,收购价格超过百万只是等闲。
可以看出,一个常用程序或可用的系统漏洞,本身的安全价值便已达数万至数百万美元,在非法网络黑市上的交易价格更是该价格的数倍。而如果黑客制定了周密的漏洞利用计划,将其用作系统渗透或病毒攻击的武器,获得的收益足以达到该价格的数十倍。如果漏洞比较"优秀",还会被不同的病毒利用,"创造的价值"也就更高了。
例如:2003年8月爆发的冲击波病毒,同年疯狂传播的Yaha蠕虫病毒,就都利用了RPC溢出漏洞"CVE-2003-0352" (如下图)。
2005年出现的Phel木马以及ANI蠕虫,都利用了漏洞"CVE-2004-1049"(如下图)。
曾被2010年大名鼎鼎的Stuxnet(震网)蠕虫利用的漏洞"CVE-2010-2568"(如下图)。
所以说,漏洞和病毒就像是一对双生子,很多重大病毒的诞生,都少不了漏洞的参与,而一个漏洞的广为人知,也多是由相关的病毒引发了关注。