AI tools

漏洞利用

来自维基百科,自由的百科全书

漏洞利用(英語:Exploit,本意为“利用”)是计算机安全术语,指的是利用软件中的漏洞得到计算机的控制权的行为,通常用于恶意目的。在英语中,“exploit”一词衍生自“to exploit”,意为“利用某事物为之谋利”,该词表示为了利用漏洞而编写的攻击程序,即漏洞利用程序。漏洞利用本身可能并不是恶意软件,而是通过突破安全控制充当递送恶意软件的载体。[1][2][3]另外还存在名为“ExploitMe”的测试程式常見於奪旗競賽或是各種資安培訓機構的教育訓練教材中。

漏洞利用程序针对漏洞,这些漏洞本质上是系统防御中的缺陷或弱点。 漏洞利用的常见目标包括操作系统网页浏览器以及各种应用程序,在这些目标中,隐藏的漏洞可能会损害计算机系统的完整性和安全性。 漏洞利用可能导致系统中出现非预期或意外的行为,并可能导致严重的安保缺口(英語:security breaches)。[4][5]

许多利用程序旨在提供对计算机系统的超级用户级别访问权限。但也可以使用多个攻击程序,初步获得低级别访问权限,然后重复提升权限,直到触及最高管理级别(通常称为“root”)。在这种情况下,攻击者将多个利用程序链接在一起以执行一次攻击,这被称为利用链(英語:exploit chain)。

除了发现和开发攻击程序的人之外的其他人并不知晓的攻击程序被称为“零日攻击”或“0day”攻击。在受影响软件的作者得知攻击程序后,通常会通过补丁修复漏洞,攻击程序将无法使用。这也是为什么一些黑帽黑客以及军事或情报机构的黑客不会公开他们的攻击程序,而是将其私藏的原因。一种提供零日攻击的方案是攻击即服务[6]

黑客利用攻击程序绕过安全控制并操纵系统漏洞。研究人员估计,这每年给全球经济造成超过4500亿美元的损失。作为应对,各类组织使用网络威胁情报来识别漏洞并预防攻击。[7]

分类

攻击程序的分类方法有很多种,最常见的是根据攻击程序与易受攻击软件的通信方式进行分类。[8]

远程攻击,通过网络进行攻击,无需事先访问易受攻击的系统即可利用安全漏洞。[9]

本地攻击,需要事先访问易受攻击的系统,并且通常会将运行攻击程序的人员的权限提升到系统管理员授予的权限之上。针对客户端应用程序的攻击也同样存在,通常由经过修改的服务器组成,这些服务器会在使用客户端应用程序访问时发送攻击程序。针对客户端应用程序的一种常见攻击形式是浏览器攻击英语Browser security[10]

针对客户端应用程序的攻击可能还需要与用户进行一些交互,因此可以与社会工程学方法结合使用。另一种分类是根据对易受攻击系统的行为进行分类;例如未经授权的数据访问、任意代码执行和拒绝服务攻击。

攻击程序通常根据其利用的漏洞类型(有关列表,请参阅漏洞)、它们是本地或远程攻击以及运行攻击程序的结果(例如EoPDoS欺骗)进行分类和命名。[11][12]

零点击攻击

零点击攻击是一种不需要用户交互即可运行的攻击程序,亦即不需要按键或鼠标点击。[13]零点击攻击通常是最受欢迎的攻击程序(特别是在地下攻击程序市场),因为其目标通常无法在攻击时知道自己已被入侵。

2021年发现的FORCEDENTRY公民实验室命名,意为“强行进入”)就是一个零点击攻击的例子。[14][15]公民实验室分析,FORCEDENTRY是一个iMessage零日零点击漏洞,针对苹果图像渲染库CoreGraphics,飞马曾利用该漏洞感染当时最新版的苹果设备。[16][17]

据报道,2022年,NSO集团飞马的提供商)向各国政府出售零点击攻击程序,用于入侵个人手机。[18]

对于移动设备,美国国家安全局(NSA)建议,及时更新软件和应用、不接入公共网络以及每周至少让设备关机再开机一次,可以减轻零点击攻击的威胁。[19][20][21]有相关领域人士称用于传统终端的保护实践同样适用于移动设备。许多漏洞利用仅存在于内存中,而非文件,理论上重启设备可以同时清理内存中的恶意软件负载,使攻击者重回利用链的起点。[22][23]另外,苹果设备的锁定模式(英語:Lockdown Mode)有助于减小攻击面。[22]

攻击跳板

攻击跳板是一种被黑客和渗透测试人员用来扩大目标组织攻击面的方法。由于防火墙等限制,攻击者利用一个被攻破的系统来攻击同一网络上无法从互联网直接访问的其他系统[需要解释]。与面向互联网的主机相比,从网络内部可以访问的机器往往更多。例如,如果攻击者入侵了企业网络上的Web服务器,则攻击者可以使用该受感染的Web服务器攻击网络上任何可访问的系统。这类攻击通常被称为多层攻击。攻击跳板也被称为“跳岛”。

攻击跳板可以进一步分为代理跳板和VPN跳板:

  • 代理跳板是指利用机器上的代理有效载荷,通过受感染的目标传输流量,并从计算机发起攻击。[24]这种类型的跳板仅限于代理支持的某些TCPUDP端口。
  • VPN跳板使攻击者能够创建一个加密层,以隧道方式进入受感染的机器,通过该目标机器路由任何网络流量,例如,通过受感染的机器对内部网络运行漏洞扫描,从而有效地使攻击者获得完全的网络访问权限,就像他们在防火墙后面一样。

通常,启用跳板的代理或VPN应用程序作为攻击程序的有效载荷在目标计算机上执行。

攻击跳板通常是通过渗透网络基础设施的一部分(例如,易受攻击的打印机或恒温器)并使用扫描器查找连接的其他设备来攻击它们。通过攻击易受攻击的网络部分,攻击者可以感染大部分或全部网络并获得完全控制权。

参见

參考資料

外部連結

Loading related searches...

Wikiwand - on

Seamless Wikipedia browsing. On steroids.