从 Hacking Team 的泄露邮件来看 0day 市场的供应商

0day漏洞市场一直由于其天然的隐秘性而不为人知。近日,研究人员(Vlad Tsyrklevich)透过Hacking Team被入侵而泄露的一些列邮件,对与HackingTeam有关的0day漏洞供应商做了一个梳理。从一定角度了解到0day市场的情况——漏洞市场背后都有哪些0day供应商?是怎么支付的?他们怎样结识上的?哪些漏(ruan)洞(jian)值(an)钱(quan)?这个市场也谈关系吗?

从这些邮件的分析显示,很多供应商直接将0day漏洞信息卖给政府,导致Hackingteam的0day漏洞供应商范围变得很小。一些已确定的漏洞供应商(比如VUPEN和COSEINC),确实会卖漏洞信息给Hacking Team,但价格过高,漏洞信息也不是最新的,甚至并不是0day漏洞。所以在选择既可靠又实惠的供应商上,Hacking Team面临很多难题。

总体情况介绍

Hacking Team和零日漏洞供应商之间的关系要追溯到2009年,那时候,他们正从信息安全顾问公司转变为发展监控业务。一开始他们很兴奋从D2Sec和VUPEN公司购买漏洞,但是却发现并不是他们所需要的客户端侧的漏洞。虽然2012年底,CitizenLab发布了关于Hacking Team用于镇压阿联酋激进分子所使用的软件报告。(Citizen Lab,是加拿大多伦多大学三一学院的蒙克国际研究中心下设的一个研究单位。专注于研究通讯技术、人权与全球安全的三者所交融的区域)但并没有对HackingTeam与这些供应商的关系有太大打击。

在2013年Hacking Team的CEO还提到在寻找新漏洞供应商方面面临的困难。同一年,Hacking Team联系了很多公司,包括 Netragard, VitaliyToropov, Vulnerabilities Brokerage International和RosarioValotta。2014年,他们开始与QavarSecurity公司的合作更密切。

那些与HT有染的0day漏洞供应商

Hacking Team

意大利公司。

Vitaliy Toropov

商业模式

俄罗斯漏洞开发人员,自由职业。2013年10月开始接触HackingTeam, 提供各种浏览器组件的漏洞信息。Vitaliy早在2011年开始就给iDefense和惠普的Zero Day Initiative提交漏洞,主要也是浏览器组件方面,一般他直接向Hacking Team售卖漏洞,但也有一些迹象表明他还通过 Netragard 的 Exploit Acquisition Program 出售漏洞( CANDLESTICK-BARNE 的描述和 Vitaliy 提供 Flash 漏洞给 HackingTeam 描述一模一样)。

定价

Vitaliy以非独家方式卖了多个Flash漏洞利用代码给HackingTeam价钱都比较低大约为$ 35-45K,而独家的话是非独家价格的三倍,说明非独家的漏洞信息可能被重复出售很多次。而其他供应商通常不这么低价的售卖非独家的漏洞,以 Firefox 的漏洞为例,Vulnerabilities Brokerage International漏洞供应商对于非独家的只会提供20%的折扣。

协议测试期

对于第一次购买,Hacking Team 有一个三天的评估期,以测试0day的有效性,HackingTeam原本是希望Vitaliy飞到米兰显示测试效果的。但是Vitaliy允许HackingTeam远程进行测试。后来他们就一直沿用了这种验证方式。

付款结构

Vitaliy开始的两个漏洞的付款协议大约是按照50%/ 25%/ 25%的支付方式。也就是一开始Vitaliy获得50%,如果漏洞没有被修复接下来两个月再获得剩下的25%。在销售第三个漏洞时,Vitaliy想一次性获得全款,如果在后面两个月 出现被修复的情况,则提供一个替代的漏洞。但由于沟通的问题以及信任的问题。最终也是分开付款的。

漏洞利用

Vitaliy在2013年底开始卖漏洞给hacking team,包括3个Flash远程执行代码漏洞,两个Safari的远程执行代码漏洞和一个Silverlight漏洞。Hacking Team还向Vitaliy要权限提升的和沙盒逃逸的。但是一直都没有得到回应。

下面是Vitaliy的漏洞出售信息:

关于Adobe security:Vitaliy出售两个相似漏洞给Hacking Team后,Hacking Team担心一个漏洞有补丁后,Adobe 将修复另一个相似漏洞,导致他们两个购买都没有作用,但是Vitaliy声称Adobe的安全做得很差,已他的经验adobe是不会发现相似漏洞。结果实际上Adobe在四月份修复了CVE-2015-0349,却没有发现第二个CVE-2015-5119漏洞,直到Hacking Team被黑了,邮件信息曝光后,adobe才修复第二个漏洞。

Netragard

美国公司

由Adriel Desautels运营的Netragard是一家信息安全顾问商和漏洞中间商。Hacking Team与Netragard第一次接触是2011年7月,但是直到2013年才确立合作关系。按Adriel Desautels的说法1999年就已经开始做漏洞贩卖商。他在Hacking Team 被入侵后 就关闭了他的贩卖计划(ExploitAcquisition Program)。

客户关系

Netragard的ExploitAcquisition Program声称并不向美国以外的的买家销售。所以HackingTeam利用Alex Velasco的CICOM USA作为代理和Netragard沟通,以此满足Netragard的条款。但是随着HackingTeam与CICOM USA关系恶化,后来(2015年3月)Netragard就直接和HackingTeam合作了。从邮件中显示Netragard声称要和更多的国际买家合作。不过像西欧的卢森堡想向Netragard买漏洞,Netragard表示更愿意以HackingTeam作为中间商。由此可见在地下0day交易市场其实还是很看重已建立的互相关系。

买家合同

Hacking Team与Netragard之间签订了一个买家合同。其中有一些有意思的条款。比如金额等于或低于4万美元的漏洞可以在一个月之后一次性付款,不然将分开按照50%/25%/25%的方式。

购买历史

2014年6月,HackingTeam表示希望购买STARLIGHT-MULHERN一个针对AdobeReader11客户端的漏洞,附带整合了绕过沙盒的功能。开始的价格是$100k,但后来最终价格是$80.5k,似乎是由于没有绕过沙盒的功能。另外,也曾经有在测试漏洞利用代码期间,HackingTeam发现在Windows8.1/x64上不生效的情况。后来经过Netragard的协商,开发者可以提供针对windows8.1的功能,但是需要增加$30k,这个价格已经比单独提供有优惠,但是从泄露的邮件看,并没有显示HackingTeam为此买账。最后这个漏洞在2015年5月份的时候被Adobe修复。

Qavar

新加坡公司,2014年4月HackingTeam参加了在新加坡举行的SyScan 大会,希望招募一些新的漏洞开发人员。因为HackingTeam相信像VUPEN这样的“军火商”通常都是简单的倒卖一下就大大提高了漏洞利用代码的价格,如果可以与研究人员直接联系,可以拿到更低的价格。而这次大会上,HackingTeam就成功挖到Eugene Ching(亚洲人,linkedin上也有他的资料)。Eugene Ching的PoC演示另HackingTeam的安全防御团队印象很深。并且Eugene Ching表示有意离开目前的D-crypt’s Xerodaylab 去成立一个新公司。于是在2014年8月的时候EugeneChing成立了Qavar Security Ltd公司。并和HackingTeam签订了为期1年的合同,明确规定了$80kSGD(约$60k美元)的补偿。合同还包含三年的非竞争和竞业禁止协议。经过几个月的开发,在2015年4月的时候,Eugene准备好给HackingTeam交付针对windows32和64位,上至windows8.1有效的漏洞利用代码。Eugene为此获得$30SGD(大约$20k美元)奖金。

VUPEN / Zerodium

创始人 Chaouki Bekrar

法国,一家国际性的漏洞开发商和中间商。2009年开始与HackingTeam有联系。VUPEN提供零日漏洞信息,但是是提供旧漏洞的存档和POC。

不信任

开始HackingTeam跟VUPEN的合作就不是太好,他们得到的漏洞利用代码都只是针对一些不常见的,旧的,特定的软件。虽然他们在2011年合同里 面协商过交叉促进,但是并没有实质性的提高。HackingTeam抱怨VUPEN并没有拿出和其名声(多次Pwn20wn大赛得奖者)匹配的的漏洞利用 代码。同时HackingTeam还担心VUPEN与其竞争对手Gamma International之间的亲密关系。VUPEN声称高质量的漏洞利用代码每个成本要$100k,所以不值得以$50k的价格卖给 HackingTeam的客户。

虽然他们曾经讨论过对合同重新谈判,但是双方都对彼此不信任。HackingTeam还曾经因为VUPEN的漏洞利用代码而备受伤害,一份卡巴斯基的报告 称,发现HackingTeam使用的payload,而实际上是通过追踪VUPEN的漏洞利用代码包发现的。VUPEN还为HackingTeam提供 过几个针对Android平台的不同的远程执行代码和本地提取漏洞,但是并不是所有都是0day,而HackingTeam认为这些漏洞的价格太高。虽然 他们对iOS的漏洞很感兴趣,但是VUPEN表示只能限于特定的客户(很可能是政府单位)。

Vulnerabilities Brokerage International

美国,由 DustinTrammel运营,也被称为I)ruid,也是一家漏洞中间商。最开始与HackingTeam有联系是2013年8月,但从泄露的邮件并 没看出来他们是如何,在什么时候建起其关系的。也没有显示Hacking Team从VBI处购买任何漏洞,但是他们的确就一些漏洞进行过谈价。VBI经常会给他的客户发一些更新(通常都是加密的),而HackingTeam就 习惯性的进行转发。好几个转发里面都包括一个PDF,里面含有VBI的漏洞利用代码列表。如下所示:

HackingTeam开始和VBI谈判购买事宜的是在2013年11月,漏洞编号VBI-13-013,是windows的本地提取漏洞,可以用于绕过应用沙盒。独家 价$95K(当初开价是$150k)包括两周的漏洞测试期,和有效期。付费架构是付50%头款,在接下来分四个月支付12.5%。但目前泄露的邮件 看,HackingTeam并没有最终购买这个漏洞。因为在接下来的沟通里面测试期还没有开始这个漏洞就没有再谈论了,而且在后来VBI的产品更新表中也 仍然有这个漏洞表明这个漏洞并非独家给HackingTeam。

HackingTeam 还表示对VBI-14-004和VBI-14-005感兴趣,分别是Adobe Reader和windows内核的沙盒逃逸漏洞,但是后来他们了解到两个漏洞组合要$200k,就没有下文了。2014年11月的时候还谈过一个 FireFox的漏洞(VBI-14-008),他们主要想用来对Tor浏览器进行攻击。但是他们其实对更高级版本的浏览器感兴趣,这个漏洞利用代码如果 是独家价是$105k,非独家价是$84k,最后因为谈判太长以及已经在别的地方卖了,就没有谈成。

Rosario Valotta

一个意大利安全研究人员(2014年曾经在Syscan360大会上讲过浏览器fuzzing技术),专 注于浏览器安全和fuzzing。至少在2013年5月开始与Hacking Team联系。Rosario专注于测试用例,但并不写漏洞利用代码。期间他专注于SVG,XSLT和XPath的fuzzing,直到他由于家庭原因在 2014年1月终止与HackingTeam的合同之前,他每月获得$3.5k欧元的工资。终止合同之后,他还多次为HackingTeam提供IE的 fuzzing测试用例和Filejafuzzer,当然这是在Syscan360公开前提供的。由于fuzzer结果距离真正的漏洞利用还有一段距离, 实际上HackingTeam能利用的fuzzing结果并不多。不过值得一提的是有一个漏洞在2013年10月份的时候提交给了 HackingTeam,而VUPEN在2014年5月的时候利用同样一个漏洞赢得Pwn2Own大奖。

COSEIN

一家新加坡安全信息顾问和0day漏洞供应商。创始人Thomas Lim。同时还运营组织SyScan安全会议。Hacking Team最早在2013年提出购买COSEINC的漏洞,但对那时候提供的IE9漏洞不感兴趣。在2014年SyScan大会之后,ThomasLim提 供了几个漏洞要卖给Hacking Team,但是他并不想通过电话或者在新加坡讨论有关的销售事宜。最后通过协商在一个第三方国家见面,HackingTeam收到一份COSEINC愿意 提供的漏洞清单。两个是针对旧的已被修复的漏洞,第三个是针对IE低级到中级权限提升的,标价$500SGD($360k美元),泄露的邮件显示 HackingTeam认为标价过高了。

NSO Group

以色列公司, 在2014年已经被美国公司Francisco Partners收购。
主要创始人是Niv Carmi, Omri Lavie 和 Shalev Hulio, 据说二人均曾在以色列8200情报部队服役。

利用这3个漏洞的是款软件套装,名为Pegasus(希腊神话中带翅膀的飞马)。据说这款软件是由以色列的NSO Group集团开发的,而且卖给全球范围内的政府客户。

Ability

以色列公司,创始人 Anatoly。
主要产品,利用SS7协议漏洞监听手机。

Cellebrite

以色列公司。
案例,帮助FBI破解枪击犯iPhone 5c。

Finfisher

研究人员跟踪服务器的物理定位发现,它们受控于德国某公司的FinFisher GmbH基础设施。这套基础设施旨在涵盖操作者和黑客的身份,FinFisher主控服务器称为FinSpy Master,而中继服务器称为FinSpy Relays,他们是作为CC攻击的命令控制端。
32个国家被部署了政府监控软件FinFisher

Raxir

RAXIR 是一家意大利公司,成立于2013年,该公司开发的软件主要用于意大利执法调查、为司法鉴定工作提供服务。
原始来源 motherboard, twiiter, securityaffairs
Android 间谍软件意外曝光另一家意大利监控公司
意大利再现一家Hacking Team 这是怎么回事?

BAE System

除以色列外英国再爆出口网络空间间谍产品
2015年以来,获得出售间谍产品牌照的国防科技企业包括了英国防务巨头 BAE 系统、ComsTrac、CellXion、Cobham、Domo Tactical Communications (DTC) 等公司,而销售对象包括了:沙特阿拉伯、 阿联酋、 土耳其、印度尼西亚、 埃及等具有糟糕的人权记录的政府。

这些出口产品包括了大规模监视工具(Mass surveillance products)——IMSI-catchers, 也被称为 “stingrays”(黄貂鱼)。该产品可以假装手机信号塔,并追踪附近连接的通讯设备。有文件表明,31套该设备被许可出口到印度尼西亚和土耳其。

其他公司

  • Keen Team—中国,2014SyScan大会上Hacking Team与KeenTeam接触,表示有兴趣购买该公司的漏洞信息,但是从泄露的邮件信息看,并没有记录表明KeenTeam打算售卖给他们。

  • Ability Ltd—以色列公司,专注于拦截和解密工具。创始人Anatoly Hurgin,2013年1月接触Hacking Team,讨论可以转售其RCS远控软件给NSO的监控软件给哪家客户。2014年12月,提供针对OS X-specific的Flash漏洞给Hacking Team,但Hacking Team认为价格太高。没有记录表明具体的价格。

  • DSquare Security–出售CANVAS漏洞包。2009年Hacking Team购买漏洞包,但很快发现不适合其业务。

  • LEO Impact Security–Hacking Team从该公司购买了一个假的微软Office漏洞。

  • ReVuln是一家意大利漏洞供应商,创始人Luigi Auriemma。Hacking Team联系过该公司,但是发现其漏洞主要是服务器侧的不适合公司业务。

  • Security Brokers–是一家意大利公司,创始人Raoul Chiesa零日漏洞的中间商。Hacking Team没有联系过该公司,因为该公司与其竞争者有过合作。

最后作者通过整理发现传说中的iOS漏洞的确如传闻中一样很贵,而且其排他性基本上把第二梯队的公司排除在外(例如HackingTeam)另一个庆幸的事情是有关Java的漏洞,大部分浏览器厂商都把它禁用了,或者需要点击一下才能运行,而从目前暴露的邮件看,并没有针对点击运行绕过的漏洞,或者可能有, 但是并不普遍。这也为浏览器厂商提供了一条禁用Adobe Flash的路。

参考资料

[1] 揭秘:0day漏洞的供应商到底是谁?
[1.1] Vlad Tsyrklevich hacking team 0day market
[2] 兰德智库的报告
[3] 2017-04-08 Artemis 网安视界
[4] [CIA Vault7 泄漏]