0day漏洞市場一直由于其天然的隱秘性而不為人知。近日，研究人員(Vlad Tsyrklevich)透過Hacking Team被入侵而泄露的一些列郵件，對與HackingTeam有關(guān)的0day漏洞供應(yīng)商做了一個梳理。從一定角度了解到0day市場的情況——漏洞市場背后都有哪些0day供應(yīng)商?是怎么支付的?他們怎樣結(jié)識上的?哪些漏(ruan)洞(jian)值(an)錢(quan)?這個市場也談關(guān)系嗎?

[[145168]]

從這些郵件的分析顯示，很多供應(yīng)商直接將0day漏洞信息賣給政府，導(dǎo)致Hackingteam的0day漏洞供應(yīng)商范圍變得很小。一些已確定的漏洞供應(yīng)商(比如VUPEN和COSEINC)，確實會賣漏洞信息給Hacking Team，但價格過高，漏洞信息也不是最新的，甚至并不是0day漏洞。所以在選擇既可靠又實惠的供應(yīng)商上，Hacking Team面臨很多難題。

總體情況介紹

Hacking Team和零日漏洞供應(yīng)商之間的關(guān)系要追溯到2009年，那時候，他們正從信息安全顧問公司轉(zhuǎn)變?yōu)榘l(fā)展監(jiān)控業(yè)務(wù)。一開始他們很興奮從D2Sec和VUPEN公司購買漏洞，但是卻發(fā)現(xiàn)并不是他們所需要的客戶端側(cè)的漏洞。雖然2012年底，CitizenLab發(fā)布了關(guān)于Hacking Team用于鎮(zhèn)壓阿聯(lián)酋激進分子所使用的軟件報告。(Citizen Lab，是加拿大多倫多大學(xué)三一學(xué)院的蒙克國際研究中心下設(shè)的一個研究單位。專注于研究通訊技術(shù)、人權(quán)與全球安全的三者所交融的區(qū)域)但并沒有對HackingTeam與這些供應(yīng)商的關(guān)系有太大打擊。

在2013年Hacking Team的CEO還提到在尋找新漏洞供應(yīng)商方面面臨的困難。同一年，Hacking Team聯(lián)系了很多公司，包括 Netragard, VitaliyToropov, Vulnerabilities Brokerage International和RosarioValotta。2014年，他們開始與QavarSecurity公司的合作更密切。

那些與HT有染的0day漏洞供應(yīng)商

1) Vitaliy Toropov

商業(yè)模式：俄羅斯漏洞開發(fā)人員，自由職業(yè)。2013年10月開始接觸HackingTeam， 提供各種瀏覽器組件的漏洞信息。Vitaliy早在2011年開始就給iDefense和惠普的Zero Day Initiative提交漏洞，主要也是瀏覽器組件方面，一般他直接向Hacking Team售賣漏洞，但也有一些跡象表明他還通過Netragard的Exploit Acquisition Program出售漏洞(CANDLESTICK-BARNE的描述和Vitaliy提供Flash漏洞給HackingTeam 描述一模一樣)

定價：Vitaliy以非獨家方式賣了多個Flash漏洞利用代碼給HackingTeam價錢都比較低大約為$ 35-45K，而獨家的話是非獨家價格的三倍，說明非獨家的漏洞信息可能被重復(fù)出售很多次。而其他供應(yīng)商通常不這么低價的售賣非獨家的漏洞，以Firefox的漏洞為例，Vulnerabilities BrokerageInternational漏洞供應(yīng)商對于非獨家的只會提供20%的折扣。

協(xié)議測試期：對于第一次購買，Hacking Team 有一個三天的評估期，以測試0day的有效性，HackingTeam原本是希望Vitaliy飛到米蘭顯示測試效果的。但是Vitaliy允許HackingTeam遠(yuǎn)程進行測試。后來他們就一直沿用了這種驗證方式。

付款結(jié)構(gòu)：Vitaliy開始的兩個漏洞的付款協(xié)議大約是按照50%/ 25%/ 25%的支付方式。也就是一開始Vitaliy獲得50%，如果漏洞沒有被修復(fù)接下來兩個月再獲得剩下的25%。在銷售第三個漏洞時，Vitaliy想一次性獲得全款，如果在后面兩個月 出現(xiàn)被修復(fù)的情況，則提供一個替代的漏洞。但由于溝通的問題以及信任的問題。最終也是分開付款的。

漏洞利用：Vitaliy在2013年底開始賣漏洞給hacking team，包括3個Flash遠(yuǎn)程執(zhí)行代碼漏洞，兩個Safari的遠(yuǎn)程執(zhí)行代碼漏洞和一個Silverlight漏洞。Hacking Team還向Vitaliy要權(quán)限提升的和沙盒逃逸的。但是一直都沒有得到回應(yīng)。

下面是Vitaliy的漏洞出售信息：

關(guān)于Adobe security：Vitaliy出 售兩個相似漏洞給Hacking Team后，Hacking Team擔(dān)心一個漏洞有補丁后，Adobe 將修復(fù)另一個相似漏洞，導(dǎo)致他們兩個購買都沒有作用，但是Vitaliy聲稱Adobe的安全做得很差，已他的經(jīng)驗adobe是不會發(fā)現(xiàn)相似漏洞。結(jié)果實際上Adobe在四月份修復(fù)了CVE-2015-0349，缺沒有發(fā)現(xiàn)第二個CVE-2015-5119漏洞，直到Hacking Team被黑了，郵件信息曝光后，adobe才修復(fù)第二個漏洞。

2) Netragard

美國公司：由Adriel Desautels運營的Netragard是一家信息安全顧問商和漏洞中間商。Hacking Team與Netragard第一次接觸是2011年7月，但是直到2013年才確立合作關(guān)系。按Adriel Desautels的說法1999年就已經(jīng)開始做漏洞販賣商。他在Hacking Team 被入侵后 就關(guān)閉了他的販賣計劃(ExploitAcquisition Program)。

客戶關(guān)系：Netragard的ExploitAcquisition Program聲稱并不向美國以外的的買家銷售。所以HackingTeam利用Alex Velasco的CICOM USA作為代理和Netragard溝通，以此滿足Netragard的條款。但是隨著HackingTeam與CICOM USA關(guān)系惡化，后來(2015年3月)Netragard就直接和HackingTeam合作了。從郵件中顯示Netragard聲稱要和更多的國際買家合作。不過像西歐的盧森堡想向Netragard買漏洞，Netragard表示更愿意以HackingTeam作為中間商。由此可見在地下0day交易市場其實還是很看重已建立的互相關(guān)系。

買家合同：Hacking Team與Netragard之間簽訂了一個買家合同。其中有一些有意思的條款。比如金額等于或低于4萬美元的漏洞可以在一個月之后一次性付款，不然將分開按照50%/25%/25%的方式。

購買歷史：2014年6月，HackingTeam表示希望購買STARLIGHT-MULHERN一個針對AdobeReader11客戶端的漏洞，附帶整合了繞過沙盒的功能。開始的價格是$100k，但后來最終價格是$80.5k，似乎是由于沒有繞過沙盒的功能。另外，也曾經(jīng)有在測試漏洞利用代碼期間，HackingTeam發(fā)現(xiàn)在Windows8.1/x64上不生效的情況。后來經(jīng)過Netragard的協(xié)商，開發(fā)者可以提供針對windows8.1的功能，但是需要增加$30k，這個價格已經(jīng)比單獨提供有優(yōu)惠，但是從泄露的郵件看，并沒有顯示HackingTeam為此買賬。最后這個漏洞在2015年5月份的時候被Adobe修復(fù)。

3) Qavar

新加坡公司，2014年4月HackingTeam參加了在新加坡舉行的SyScan 大會，希望招募一些新的漏洞開發(fā)人員。因為HackingTeam相信像VUPEN這樣的“軍火商”通常都是簡單的倒賣一下就大大提高了漏洞利用代碼的價格，如果可以與研究人員直接聯(lián)系，可以拿到更低的價格。而這次大會上，HackingTeam就成功挖到Eugene Ching(亞洲人，linkedin上也有他的資料)。Eugene Ching的PoC演示另HackingTeam的安全防御團隊印象很深。并且Eugene Ching表示有意離開目前的D-crypt's Xerodaylab 去成立一個新公司。于是在2014年8月的時候EugeneChing成立了Qavar Security Ltd公司。并和HackingTeam簽訂了為期1年的合同，明確規(guī)定了$80kSGD(約$60k美元)的補償。合同還包含三年的非競爭和競業(yè)禁止協(xié)議。經(jīng)過幾個月的開發(fā)，在2015年4月的時候，Eugene準(zhǔn)備好給HackingTeam交付針對windows32和64位，上至windows8.1有效的漏洞利用代碼。Eugene為此獲得$30SGD(大約$20k美元)獎金。

4) VUPEN

法國，一家國際性的漏洞開發(fā)商和中間商。2009年開始與HackingTeam有聯(lián)系。VUPEN提供零日漏洞信息，但是是提供舊漏洞的存檔和POC。

不信任：

開始HackingTeam跟VUPEN的合作就不是太好，他們得到的漏洞利用代碼都只是針對一些不常見的，舊的，特定的軟件。雖然他們在2011年合同里 面協(xié)商過交叉促進，但是并沒有實質(zhì)性的提高。HackingTeam抱怨VUPEN并沒有拿出和其名聲(多次Pwn20wn大賽得獎?wù)?匹配的的漏洞利用 代碼。同時HackingTeam還擔(dān)心VUPEN與其競爭對手Gamma International之間的親密關(guān)系。VUPEN聲稱高質(zhì)量的漏洞利用代碼每個成本要$100k，所以不值得以$50k的價格賣給 HackingTeam的客戶。

雖 然他們曾經(jīng)討論過對合同重新談判，但是雙方都對彼此不信任。HackingTeam還曾經(jīng)因為VUPEN的漏洞利用代碼而備受傷害，一份卡巴斯基的報告 稱，發(fā)現(xiàn)HackingTeam使用的payload，而實際上是通過追蹤VUPEN的漏洞利用代碼包發(fā)現(xiàn)的。VUPEN還為HackingTeam提供 過幾個針對Android平臺的不同的遠(yuǎn)程執(zhí)行代碼和本地提取漏洞，但是并不是所有都是0day，而HackingTeam認(rèn)為這些漏洞的價格太高。雖然 他們對iOS的漏洞很感興趣，但是VUPEN表示只能限于特定的客戶(很可能是政府單位)

5) Vulnerabilities Brokerage International

美國，由 DustinTrammel運營，也被稱為I)ruid，也是一家漏洞中間商。最開始與HackingTeam有聯(lián)系是2013年8月，但從泄露的郵件并 沒看出來他們是如何，在什么時候建起其關(guān)系的。也沒有顯示Hacking Team從VBI處購買任何漏洞，但是他們的確就一些漏洞進行過談價。VBI經(jīng)常會給他的客戶發(fā)一些更新(通常都是加密的)，而HackingTeam就 習(xí)慣性的進行轉(zhuǎn)發(fā)。好幾個轉(zhuǎn)發(fā)里面都包括一個PDF，里面含有VBI的漏洞利用代碼列表。如下所示：

HackingTeam開始和VBI談判購買事宜的是在2013年11月，漏洞編號VBI-13-013，是windows的本地提取漏洞，可以用于繞過應(yīng)用沙盒。獨家 價$95K(當(dāng)初開價是$150k)包括兩周的漏洞測試期，和有效期。付費架構(gòu)是付50%頭款，在接下來分四個月支付12.5%。但目前泄露的郵件 看，HackingTeam并沒有最終購買這個漏洞。因為在接下來的溝通里面測試期還沒有開始這個漏洞就沒有再談?wù)摿?，而且在后來VBI的產(chǎn)品更新表中也 仍然有這個漏洞表明這個漏洞并非獨家給HackingTeam。

HackingTeam 還表示對VBI-14-004和VBI-14-005感興趣，分別是Adobe Reader和windows內(nèi)核的沙盒逃逸漏洞，但是后來他們了解到兩個漏洞組合要$200k，就沒有下文了。2014年11月的時候還談過一個 FireFox的漏洞(VBI-14-008)，他們主要想用來對Tor瀏覽器進行攻擊。但是他們其實對更高級版本的瀏覽器感興趣，這個漏洞利用代碼如果 是獨家價是$105k，非獨家價是$84k，最后因為談判太長以及已經(jīng)在別的地方賣了，就沒有談成。

6) Rosario Valotta

一個意大利安全研究人員(2014年曾經(jīng)在Syscan360大會上講過瀏覽器fuzzing技術(shù))，專 注于瀏覽器安全和fuzzing。至少在2013年5月開始與Hacking Team聯(lián)系。Rosario專注于測試用例，但并不寫漏洞利用代碼。期間他專注于SVG,XSLT和XPath的fuzzing，直到他由于家庭原因在 2014年1月終止與HackingTeam的合同之前，他每月獲得$3.5k歐元的工資。終止合同之后，他還多次為HackingTeam提供IE的 fuzzing測試用例和Filejafuzzer，當(dāng)然這是在Syscan360公開前提供的。由于fuzzer結(jié)果距離真正的漏洞利用還有一段距離， 實際上HackingTeam能利用的fuzzing結(jié)果并不多。不過值得一提的是有一個漏洞在2013年10月份的時候提交給了 HackingTeam，而VUPEN在2014年5月的時候利用同樣一個漏洞贏得Pwn2Own大獎。

7) COSEIN

一家新 加坡安全信息顧問和0day漏洞供應(yīng)商。創(chuàng)始人Thomas Lim。同時還運營組織SyScan安全會議。Hacking Team最早在2013年提出購買COSEINC的漏洞，但對那時候提供的IE9漏洞不感興趣。在2014年SyScan大會之后，ThomasLim提 供了幾個漏洞要賣給Hacking Team，但是他并不想通過電話或者在新加坡討論有關(guān)的銷售事宜。最后通過協(xié)商在一個第三方國家見面，HackingTeam收到一份COSEINC愿意 提供的漏洞清單。兩個是針對舊的已被修復(fù)的漏洞，第三個是針對IE低級到中級權(quán)限提升的，標(biāo)價$500SGD($360k美元)，泄露的郵件顯示 HackingTeam認(rèn)為標(biāo)價過高了。

8) 其他公司

· Keen Team—中國，2014SyScan大會上Hacking Team與KeenTeam接觸，表示有興趣購買該公司的漏洞信息，但是從泄露的郵件信息看，并沒有記錄表明KeenTeam打算售賣給他們。

· Ability Ltd—以色列公司，專注于攔截和解密工具。創(chuàng)始人Anatoly Hurgin，2013年1月接觸Hacking Team，討論可以轉(zhuǎn)售其RCS遠(yuǎn)控軟件給NSO的監(jiān)控軟件給哪家客戶。2014年12月，提供針對OS X-specific的Flash漏洞給Hacking Team，但Hacking Team認(rèn)為價格太高。沒有記錄表明具體的價格。

· DSquare Security–出售CANVAS漏洞包。2009年Hacking Team購買漏洞包，但很快發(fā)現(xiàn)不適合其業(yè)務(wù)。

· LEO Impact Security–Hacking Team從該公司購買了一個假的微軟Office漏洞。

· ReVuln是一家意大利漏洞供應(yīng)商，創(chuàng)始人Luigi Auriemma。Hacking Team聯(lián)系過該公司，但是發(fā)現(xiàn)其漏洞主要是服務(wù)器側(cè)的不適合公司業(yè)務(wù)。

· Security Brokers–是一家意大利公司，創(chuàng)始人Raoul Chiesa零日漏洞的中間商。Hacking Team沒有聯(lián)系過該公司，因為該公司與其競爭者有過合作。

最后作者通過整理發(fā)現(xiàn)傳說中的iOS漏洞的確如傳聞中一樣很貴，而且其排他性基本上把第二梯隊的公司排除在外(例如HackingTeam)另一個慶幸的事 情是有關(guān)Java的漏洞，大部分瀏覽器廠商都把它禁用了，或者需要點擊一下才能運行，而從目前暴露的郵件看，并沒有針對點擊運行繞過的漏洞，或者可能有， 但是并不普遍。這也為瀏覽器廠商提供了一條禁用Adobe Flash的路。