AI tools

漏洞利用

来自维基百科,自由的百科全书

漏洞利用(英語:Exploit,本意為「利用」)是電腦安全術語,指的是利用軟體中的漏洞得到電腦的控制權的行為,通常用於惡意目的。在英語中,「exploit」一詞衍生自「to exploit」,意為「利用某事物為之謀利」,該詞表示為了利用漏洞而編寫的攻擊程式,即漏洞利用程式。漏洞利用本身可能並不是惡意軟體,而是通過突破安全控制充當遞送惡意軟體的載體。[1][2][3]另外還存在名為「ExploitMe」的測試程式常見於奪旗競賽或是各種資安培訓機構的教育訓練教材中。

漏洞利用程式針對漏洞,這些漏洞本質上是系統防禦中的缺陷或弱點。 漏洞利用的常見目標包括作業系統網頁瀏覽器以及各種應用程式,在這些目標中,隱藏的漏洞可能會損害電腦系統的完整性和安全性。 漏洞利用可能導致系統中出現非預期或意外的行為,並可能導致嚴重的安保缺口(英語:security breaches)。[4][5]

許多利用程式旨在提供對電腦系統的超級使用者級別存取權限。但也可以使用多個攻擊程式,初步獲得低階別存取權限,然後重複提升權限,直到觸及最高管理級別(通常稱為「root」)。在這種情況下,攻擊者將多個利用程式連結在一起以執行一次攻擊,這被稱為利用鏈(英語:exploit chain)。

除了發現和開發攻擊程式的人之外的其他人並不知曉的攻擊程式被稱為「零日攻擊」或「0day」攻擊。在受影響軟體的作者得知攻擊程式後,通常會通過修補程式修復漏洞,攻擊程式將無法使用。這也是為什麼一些黑帽駭客以及軍事或情報機構的駭客不會公開他們的攻擊程式,而是將其私藏的原因。一種提供零日攻擊的方案是攻擊即服務[6]

駭客利用攻擊程式繞過安全控制並操縱系統漏洞。研究人員估計,這每年給全球經濟造成超過4500億美元的損失。作為應對,各類組織使用網路威脅情報來辨識漏洞並預防攻擊。[7]

分類

攻擊程式的分類別方法有很多種,最常見的是根據攻擊程式與易受攻擊軟體的通訊方式進行分類。[8]

遠端攻擊,通過網路進行攻擊,無需事先訪問易受攻擊的系統即可利用安全漏洞。[9]

本地攻擊,需要事先訪問易受攻擊的系統,並且通常會將執行攻擊程式的人員的權限提升到系統管理員授予的權限之上。針對客戶端應用程式的攻擊也同樣存在,通常由經過修改的伺服器組成,這些伺服器會在使用客戶端應用程式訪問時傳送攻擊程式。針對客戶端應用程式的一種常見攻擊形式是瀏覽器攻擊英語Browser security[10]

針對客戶端應用程式的攻擊可能還需要與使用者進行一些互動,因此可以與社交工程方法結合使用。另一種分類是根據對易受攻擊系統的行為進行分類;例如未經授權的資料訪問、任意代碼執行和阻斷服務攻擊。

攻擊程式通常根據其利用的漏洞類型(有關列表,請參閱漏洞)、它們是本地或遠端攻擊以及執行攻擊程式的結果(例如EoPDoS欺騙)進行分類和命名。[11][12]

零點擊攻擊

零點擊攻擊是一種不需要使用者互動即可執行的攻擊程式,亦即不需要按鍵或滑鼠點擊。[13]零點擊攻擊通常是最受歡迎的攻擊程式(特別是在地下攻擊程式市場),因為其目標通常無法在攻擊時知道自己已被入侵。

2021年發現的FORCEDENTRY公民實驗室命名,意為「強行進入」)就是一個零點擊攻擊的例子。[14][15]公民實驗室分析,FORCEDENTRY是一個iMessage零日零點擊漏洞,針對蘋果圖像彩現庫CoreGraphics,飛馬曾利用該漏洞感染當時最新版的蘋果裝置。[16][17]

據報道,2022年,NSO集團飛馬的提供商)向各國政府出售零點擊攻擊程式,用於入侵個人手機。[18]

對於行動裝置,美國國家安全局(NSA)建議,及時更新軟體和應用、不接入公共網路以及每周至少讓裝置關機再開機一次,可以減輕零點擊攻擊的威脅。[19][20][21]有相關領域人士稱用於傳統終端的保護實踐同樣適用於行動裝置。許多漏洞利用僅存在於記憶體中,而非檔案,理論上重新啟動裝置可以同時清理主記憶體中的惡意軟體負載,使攻擊者重回利用鏈的起點。[22][23]另外,蘋果裝置的鎖定模式(英語:Lockdown Mode)有助於減小攻擊面。[22]

攻擊跳板

攻擊跳板是一種被駭客和滲透測試人員用來擴大目標組織攻擊面的方法。由於防火牆等限制,攻擊者利用一個被攻破的系統來攻擊同一網路上無法從網際網路直接訪問的其他系統[需要解釋]。與面向網際網路的主機相比,從網路內部可以訪問的機器往往更多。例如,如果攻擊者入侵了企業網路上的Web伺服器,則攻擊者可以使用該受感染的Web伺服器攻擊網路上任何可訪問的系統。這類攻擊通常被稱為多層攻擊。攻擊跳板也被稱為「跳島」。

攻擊跳板可以進一步分為代理跳板和VPN跳板:

  • 代理跳板是指利用機器上的代理有效載荷,通過受感染的目標傳輸流量,並從電腦發起攻擊。[24]這種類型的跳板僅限於代理支援的某些TCPUDP埠。
  • VPN跳板使攻擊者能夠建立一個加密層,以隧道方式進入受感染的機器,通過該目標機器路由任何網路流量,例如,通過受感染的機器對內部網路執行漏洞掃描,從而有效地使攻擊者獲得完全的網路存取權限,就像他們在防火牆後面一樣。

通常,啟用跳板的代理或VPN應用程式作為攻擊程式的有效載荷在目標電腦上執行。

攻擊跳板通常是通過滲透網路基礎設施的一部分(例如,易受攻擊的印表機或恆溫器)並使用掃描器尋找連接的其他裝置來攻擊它們。通過攻擊易受攻擊的網路部分,攻擊者可以感染大部分或全部網路並獲得完全控制權。

參見

參考資料

外部連結

Loading related searches...

Wikiwand - on

Seamless Wikipedia browsing. On steroids.