携手创作，共同成长！这是我参与「掘金日新计划 · 8 月更文挑战」的第8天，点击查看活动详情

零日漏洞利用

零日（0日）漏洞利用是针对软件供应商或防病毒供应商未知的软件漏洞的网络攻击。攻击者在任何有兴趣缓解软件漏洞的各方之前发现软件漏洞，迅速创建漏洞利用，并将其用于攻击。这种攻击极有可能成功，因为防御措施没有到位。这使得零日攻击成为严重的安全威胁。

典型的攻击媒介包括 Web 浏览器（由于无处不在而成为常见目标）和电子邮件附件，这些附件利用打开附件的应用程序或特定文件类型（如 Word、Excel、PDF 或 Flash）中的漏洞。

一个相关的概念是零日恶意软件 - 一种计算机病毒，其特定的防病毒软件签名尚不可用，因此基于签名的防病毒软件无法阻止它。

零日漏洞利用的典型目标包括：

政府部门。
大型企业。
有权访问有价值的业务数据（如知识产权）的个人。
大量使用易受攻击的系统（如浏览器或操作系统）的家庭用户。黑客可以利用漏洞来破坏计算机并构建大量僵尸网络。
RSA： 2011年，黑客利用Adobe Flash Player中一个当时未修补的漏洞来访问安全公司RSA的网络。攻击者向一小群RSA员工发送了带有Excel电子表格附件的电子邮件。电子表格包含一个利用零日Flash漏洞的嵌入式Flash文件。当其中一名员工打开电子表格时，被攻击者安装了Poison Ivy远程管理工具来控制计算机。一旦他们获得了对网络的访问权限，攻击者就会搜索敏感信息，复制它并将其传输到他们控制的外部服务器。RSA承认，被盗数据中包括与该公司的SecureID双因素身份验证产品相关的敏感信息，这些产品在世界各地用于访问敏感数据和设备。
硬件设备、固件和物联网（IoT）。
在某些情况下，政府使用零日漏洞来攻击威胁其自然安全的个人，组织或国家。

由于零日漏洞对不同方都很有价值，因此存在一个市场，组织向发现漏洞的研究人员支付费用。除了这个“白市”之外，还有灰色和黑市，在这些市场中，零日漏洞的交易价格高达数十万美元，无需公开披露。

零日攻击的一些引人注目的例子包括：

1. Stuxnet： 此恶意计算机蠕虫针对的是几个国家/地区（包括伊朗、印度和印度尼西亚）中用于制造目的的计算机。主要目标是伊朗的铀浓缩厂，目的是破坏该国的核计划。零日漏洞存在于运行在称为可编程逻辑控制器（PLC）的工业计算机上的软件中，该软件在Microsoft Windows上运行。该蠕虫通过西门子Step7软件中的漏洞感染了PLC，导致PLC在装配线机械上执行意外命令，破坏了用于分离核材料的离心机。
2. 索尼零日攻击： 索尼影业是2014年底零日漏洞的受害者。这次攻击削弱了索尼的网络，并导致在文件共享网站上发布敏感的公司数据。泄露的数据包括即将上映的电影、商业计划的细节以及索尼高管的个人电子邮件地址。索尼攻击中利用的确切漏洞的详细信息仍然未知。
3. 极光行动： 这项2009年的零日漏洞利用针对了几家主要企业的知识产权，包括谷歌、Adobe Systems、雅虎和陶氏化学。这些漏洞存在于Internet Explorer和Perforce中。后者被谷歌用来管理其源代码。

根据定义，零日漏洞利用尚不存在修补程序或防病毒签名，因此难以检测。但是，有几种方法可以检测以前未知的软件漏洞。

漏洞扫描可以检测到一些零日漏洞利用。提供漏洞扫描解决方案的安全供应商可以模拟对软件代码的攻击，进行代码审查，并尝试查找软件更新后可能引入的新漏洞。

此方法无法检测所有零日漏洞利用。但是，即使对于它检测到的人来说，扫描是不够的 - 组织必须根据扫描结果采取行动，执行代码审查并清理其代码以防止漏洞利用。实际上，大多数组织对新发现的漏洞的响应速度很慢，而攻击者可以非常迅速地利用零日漏洞。

另一种策略是尽快为新发现的软件漏洞部署软件补丁。虽然这不能防止零日攻击，但快速应用补丁和软件升级可以显著降低攻击风险。

但是，有三个因素可能会延迟安全补丁的部署。软件供应商需要时间来发现漏洞，开发补丁并将其分发给用户。在组织系统上应用修补程序也可能需要一些时间。此过程花费的时间越长，零日攻击的风险就越高。

输入验证解决了漏洞扫描和修补程序管理中固有的许多问题。它不会让组织在修补系统或清理代码时不受保护 - 这些过程可能需要时间。它由安全专家操作，更加灵活，能够实时适应和响应新威胁。

防止零日攻击的最有效方法之一是在网络边缘部署 Web 应用程序防火墙（WAF）。WAF 会检查所有传入流量，并筛选出可能针对安全漏洞的恶意输入。

此外，在打击零日攻击方面的最新进展是运行时应用程序自我保护（RASP）。RASP 代理位于应用程序内部，在运行时使用应用程序代码的上下文检查请求负载，以确定请求是正常的还是恶意的，从而使应用程序能够保护自己。