漏洞利用即服务
攻击即服务或漏洞利用即服務(英語:Exploit as a service)簡稱EaaS,是一种网络犯罪分子将零日漏洞的利用服务出租给其他黑客的方式。[1]EaaS通常作为云服务提供。[2]到 2021 年底,EaaS 已成为勒索软件团伙的新动向。[3]
过去,零日漏洞通常在暗网上出售,但通常售价高昂,每个可达数百万美元。[3]而租赁模式使许多黑客更容易获得此类漏洞。[4]这些零日漏洞可以在被高价出售之前租用一段时间。[1]该模式通常与勒索软件即服务 (RaaS)、网络钓鱼即服务和黑客攻击即服务 (HaaS)等类似模式相提并论。[1]Haas 包括DoS和DDoS攻击以及为使用这些服务的黑客维护的僵尸网络。
攻击即服务的各环节会面临各种挑战。付款通常使用比特币等加密货币进行。使用加密货币并不能一直保证匿名性,警方已经能够在各种情况下抓获罪犯。[5]并且租用的零日漏洞可能会被发现并可于进行逆向工程。
目前尚不确定其商业模式的盈利能力如何。如果它被认为收益可观的,那么提供这类服务的参与者可能会增加。[1]有关攻击即服务的信息部分来自暗网上的讨论,这表明人们对此类服务的兴趣日益浓厚。[6]
参见
编辑参考资料
编辑- ^ 1.0 1.1 1.2 1.3 Exploit-as-a-service: Cybercriminals exploring potential of leasing out zero-day vulnerabilities. 16 November 2021. (原始内容存档于2021-11-23).
- ^ New type of cloud: Exploits as a Service (EaaS). 2021-01-19 [2023-08-11]. (原始内容存档于2021-01-19).
- ^ 3.0 3.1 Zero-day Flaws and Exploit-as-a-Service Trending Among Ransomware Groups | Cyware Alerts - Hacker News. 2021-12-01 [2023-08-11]. (原始内容存档于2021-12-01).
- ^ What is hacking as a service (HaaS)? - Definition from WhatIs.com. whatis.techtarget.com. [13 January 2022]. (原始内容存档于11 August 2021).
- ^ Lincolnshire boy has £2m of cryptocurrency seized by police - BBC News. 2021-11-29 [2023-08-11]. (原始内容存档于2021-11-29).
- ^ New criminal tactics: exploit-as-a-service and buying zero-day flaws. 2021-11-17 [2023-08-11]. (原始内容存档于2021-11-17).
外部链接
编辑- 维基共享资源上的相關多媒體資源:漏洞利用即服务
- Exploit-as-a-service: Cybercriminals exploring potential of leasing out zero-day vulnerabilities as saved in the Internet Archive
- Exploit-as-a-Service, high rollers and zero-day criminal tactics as saved in the Internet Archive
- Hacking as a Service as saved in the Internet Archive