2013年1月3日 星期四

最近0-Day漏洞和自動化攻擊工具的收費行情


最近0-Day漏洞和自動化攻擊工具的收費行情

2012年11月爆出新Java Zero-Day漏洞在地下論壇販售的新聞,其實沒有很意外,這不是第一件,也不會是最後一件,就跟黑市軍火販賣一樣,隨時都在"暗地裡"發生。只是一把槍多少錢?一顆手榴彈多少錢... 嗯...,其實我也很想知道.

言歸正傳,我們來分享最近幾個0-day漏洞的價碼:

Security Writer Brian Krebs在他的blog上指出,一個先前未公開的Java Zero-Day漏洞在地下論壇上販售。受害的對象是未修補漏洞的Java JRE 7,根據販售者的說法,Java 6或是更早的版本並不受影響!這個漏洞存在於Java控制音訊輸入和輸出的class:"MidiDevice.Info"裡,攻擊者可以利用這個漏洞遠端控制系統上運行的惡意程式,販售者並沒有給一個特定的價格,但希望能有"5位數"的價錢,單位當然是美金

上上星期被發現的Yahoo XSS漏洞,一旦受害人點擊了mail中的惡意連結,攻擊者能竊取cookie並監控受害人的所有瀏覽過程,這將威脅到數以百萬計的Yahoo信箱使用者的隱私安全,此漏洞販賣的價錢為700美金

在11月初被發現的Adobe Reader Zero-Day漏洞可繞過內部的sandbox設計,此漏洞販賣的價錢約為3萬~5萬美金!(影片示範)
另外還有知名的Blackhole Exploit Kit,還分成向他們租借server及使用自己server等不同的費用!真是設想週到。

不久前我們blog也才針對自動化攻擊工具Blackhole Exploit Kit報導過。其實最令人擔心的是當這些漏洞被包進了Blackhole或其他的exploit kits裡,畢竟這些買主花了大錢買了重裝軍火不會只用在山裡打獵,他們攻擊對象通常都是鎖定政府、軍事、大型企業或工業等重要大型組織,影響層級及範圍無法想像!

轉載自《AegisLab義集思安全實驗室》