第七章 零日漏洞交易（接上）

交易中的多數公司都不願公開他們這方面的工作，不僅因為這是秘密的，還因為他們不想因此被反漏洞交易社會活動人士當做批判的目标，更不想引來想偷走這些漏洞利用程序的敵手。由于零日漏洞既可以用于防禦，也可以用于進攻，很多公司會給攻擊性活動戴上一個防禦工作的帽子。包括Endgame Systems在内的多家美國公司都或多或少的涉足其中。歐洲方面，有專門制作針對工業控制系統漏洞利用程序的馬耳他小公司ReVuln，和以執法部門和情報機構為目标客戶的法國公司VUPEN。此外，還有向執法部門和情報機構出售“與零日漏洞利用程序配合使用的監視工具”的意大利黑客團隊和英國的伽馬集團。

由于非常重視保密管理，多年來，喬治亞州Endgame Systems公司在零日漏洞挖掘業界一直是默默無聞。直到2011年，來自“匿名者”（Anonymous）的黑客攻破了HBGary Federal公司的服務器，洩露了這家公司包括與Endgame高管來往郵件的數千封電郵。郵件中讨論了Endgame公司制作漏洞利用程序的工作，以及根據政府部門“盡量保持低調”的建議所做的努力。這些郵件中，還包括一個面向客戶對公司業務進行展望的PPT演示文稿，其中描述了公司加強“美國情報機構和軍事組織遂行信息作戰任務能力”的使命。Endgame公司的董事會主席還同時擔任着CIA旗下風險投資公司——In-Q-Tel公司的首席執行官。

在公開市場上，Endgame公司的主要業務是為客戶提供安全服務，使其免受病毒和僵屍網絡攻擊。但公司卻私下從事着出售寫有“可直接為計算機網絡攻擊行動中提供行動情報”字樣的漏洞和漏洞利用程序包的勾當。Endgame公司成立于2008年，由于其商業前景非常看好，兩年後就拿到了3000萬美元的風險投資資金，之後又拿到了2300萬美元的新一輪風投資金。2011年，Endgame公司CEO克裡斯托弗•羅蘭德（Christopher Rouland）向亞特蘭大一份地方報紙宣稱，公司的收益将“每年增長一倍以上。”

洩漏出來的郵件中描述了Endgame公司名為毛依（Maui）、 卡曼（Cayman）和科西嘉（Corsica）的三個産品包。名為“毛依”的産品包，合同金額為每年250萬美元，将每年為買家提供25個零日漏洞利用程序。名為“卡曼”的産品包，合同金額為150萬美元，内容是關于全球數百萬台易受攻擊計算機的情報，這些計算機已被類似Conficker的僵屍網絡蠕蟲和其他惡意程序所感染。郵件中的預覽圖顯示了俄羅斯境内易受攻擊計算機的位置，以及在核心政府部門和關鍵基礎設施中易受攻擊計算機信息清單，清單中包括每台計算機的IP地址和使用的操作系統。清單中有位于俄聯邦中央銀行的249台計算機，還有位于财政部、國家儲蓄銀行、新沃羅涅日核電站和阿秦斯克煉油廠的少量計算機。其中有一部分數據是Endgame通過設置可與被Conficker病毒感染計算機進行通信的“槽洞”來獲得的。每當惡意代碼與“槽洞”通信時，Endgame就可以将惡意代碼所在計算機的情報收集起來。關于委内瑞拉的另外一張地圖上，顯示着該國網絡服務器所在位置，以及每台服務器上正在運行哪些軟件。如果網站服務器被成功滲透、而且配置不當，那麼攻擊者就可以通過後門來進入網站的系統和服務器。被入侵的網站列表中包括安第斯開發銀行——為拉美及加勒比海地區和歐洲的18個成員國提供金融服務的發展銀行、委内瑞拉中央預算辦公室、總統辦、國防部和外交部網站。在郵件洩露事件後的2012年，Endgame公司對媒體宣稱，正在砍掉漏洞利用程序開發業務，并于2014年初專門為此事發布了正式聲明。

在Endgame公司上下協力掩蓋其漏洞業務的同時，位于法國蒙彼利埃的VUPEN安全公司卻在零日漏洞交易領域大出風頭。VUPEN标榜自己是一家制作和銷售漏洞利用程序的專業安全公司，可以滿足情報機構和執法部門等客戶在“攻擊性網絡安全行動及合法監聽任務”中的需求。2008年成立時，它的業務是保護政府客戶免遭零日漏洞攻擊；兩年後，公司開始制作用于攻擊行動的漏洞利用程序。2011年，公司營業額達到120萬美元，其中近90%來自國外市場。2013年，公司宣布正在美國設立分部。

VUPEN創始人、CEO查歐基·貝克拉（Chaouki Bekrar）行事大膽、無所顧忌，這讓他經常被那些反對向政府銷售漏洞的人在推特上大加鞭撻。他還經常挑戰那些口風頗緊的競争對手，讓他們把自己做的事情公諸于衆。“我們是世界上唯一一家公開宣稱吃這碗飯的公司，”他說，“美國和歐洲有很多公司都在做這些事，但他們不敢承認。我們之所以選擇公開，是因為我們胸懷坦蕩。”

Endgame和其他所有公司都隐忍的蟄伏着，貝克拉和他的同事們卻高調的穿梭于各種安全會議，參與類似Pwn2Own的競賽，不斷提升公司知名度。2012年的Pwn2Own大賽在 CanSecWest大會（加拿大的一個計算機安全年會）上進行，由貝克拉和他4名同事組成的戰隊穿着後背印有公司标志的黑色連帽衫，奪得了大賽的冠軍。

但是，VUPEN對外界的展示，僅限于此。貝克拉不會對别人讨論他的背景，也不會回答任何個人問題，隻是讓别人把目光放在他的公司上。“我隻是個演員，咱們還是聊聊電影吧。”他說。但當别人真問到有關公司的問題時，他一樣會閉緊嘴巴。他不會說出公司有多少雇員、叫什麼名字，而隻會說“我們是個小公司”。

VUPEN公司的研究員專注于零日漏洞的挖掘和漏洞利用程序的制作。不僅制作已知漏洞的利用程序，也制作零日漏洞利用程序。貝克拉不會告訴别人他開始這項業務以來一共賣出過多少漏洞利用程序，但他明确表示，每年可以發現數百個零日漏洞。“我們有各種各樣的零日漏洞，”他說，“針對各種操作系統的、各種浏覽器的、還有針對你想要的每種應用軟件的。”

不管貝克拉的話中有幾分是确有其事，幾分是“戰略營銷”，這種策略确實管用。2012年，在他的戰隊赢得Pwn2Own大賽的幾個月後，美國國家安全局NSA認購了VUPEN公司“二進制分析與利用”（Binary Analysis and Exploits ，BAE）一年的服務。迫于公衆壓力而公開的合同非常“簡約”，連合同金額都沒有。不過，将VUPEN選為“2011年年度創業企業”的一家商務咨詢公司透露，合同金額是一年10萬美元。據VUPEN網站上的說明，BAE服務的内容是“提供關于最關鍵、最有價值漏洞的高級技術報告，幫助客戶理解漏洞存在的根本原因、漏洞利用技術、危害緩解手段，以及基于漏洞利用程序或直接利用漏洞的攻擊探測方法。”

維基解密拿到了VUPEN公司的一本内部宣傳冊，上面寫着：VUPEN還提出了一個“威脅防護項目”，通過對本公司研究員發現的獨家漏洞進行深入研究，幫助客戶“降低遭受零日漏洞攻擊的風險”。根據這些項目的描述，他們所做的，無非是幫助客戶加強防護、免受零日漏洞攻擊——零日漏洞利用程序可以用來對系統進行攻擊測試——但是，這些信息已經足以讓客戶用它們對那些未打補丁的系統進行攻擊。公司的“威脅防護包”中，甚至為客戶提供了可以直接用于攻擊的零日漏洞利用程序。此外，VUPEN公司還有一項專門為執法部門和情報機構量身定制的服務，功能是對目标計算機發動秘密攻擊、并實現遠程登入。“執法部門需要最先進的信息入侵技術，和最可靠的攻擊工具，以便遠程、秘密的進入目标計算機系統，”貝克拉在宣傳冊中指出，“使用以前沒有人知道的軟件漏洞及相應的漏洞利用程序，可以繞過反病毒産品和操作系統的安全防護……幫助調查者成功完成任務。”（待續）

（回複“zw” 數字，查看之前連載内容，如zw1、zw2……）

－－－

要聞/幹貨/原創/專業 關注“安全牛”

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!