0day漏洞市場(chǎng)一直由于其天然的隱秘性而不為人知。近日，研究人員(Vlad Tsyrklevich)透過(guò)Hacking Team被入侵而泄露的一些列郵件，對(duì)與HackingTeam有關(guān)的0day漏洞供應(yīng)商做了一個(gè)梳理。從一定角度了解到0day市場(chǎng)的情況——漏洞市場(chǎng)背后都有哪些0day供應(yīng)商?是怎么支付的?他們?cè)鯓咏Y(jié)識(shí)上的?哪些漏(ruan)洞(jian)值(an)錢(quan)?這個(gè)市場(chǎng)也談關(guān)系嗎?

從這些郵件的分析顯示，很多供應(yīng)商直接將0day漏洞信息賣給政府，導(dǎo)致Hackingteam的0day漏洞供應(yīng)商范圍變得很小。一些已確定的漏洞供應(yīng)商(比如VUPEN和COSEINC)，確實(shí)會(huì)賣漏洞信息給Hacking Team，但價(jià)格過(guò)高，漏洞信息也不是最新的，甚至并不是0day漏洞。所以在選擇既可靠又實(shí)惠的供應(yīng)商上，Hacking Team面臨很多難題。

總體情況介紹

Hacking Team和零日漏洞供應(yīng)商之間的關(guān)系要追溯到2009年，那時(shí)候，他們正從信息安全顧問(wèn)公司轉(zhuǎn)變?yōu)榘l(fā)展監(jiān)控業(yè)務(wù)。一開始他們很興奮從D2Sec和VUPEN公司購(gòu)買漏洞，但是卻發(fā)現(xiàn)并不是他們所需要的客戶端側(cè)的漏洞。雖然2012年底，CitizenLab發(fā)布了關(guān)于Hacking Team用于鎮(zhèn)壓阿聯(lián)酋激進(jìn)分子所使用的軟件報(bào)告。(Citizen Lab，是加拿大多倫多大學(xué)三一學(xué)院的蒙克國(guó)際研究中心下設(shè)的一個(gè)研究單位。專注于研究通訊技術(shù)、人權(quán)與全球安全的三者所交融的區(qū)域)但并沒有對(duì)HackingTeam與這些供應(yīng)商的關(guān)系有太大打擊。

在2013年Hacking Team的CEO還提到在尋找新漏洞供應(yīng)商方面面臨的困難。同一年，Hacking Team聯(lián)系了很多公司，包括 Netragard, VitaliyToropov, Vulnerabilities Brokerage International和RosarioValotta。2014年，他們開始與QavarSecurity公司的合作更密切。

那些與HT有染的0day漏洞供應(yīng)商

1) Vitaliy Toropov

商業(yè)模式：俄羅斯漏洞開發(fā)人員，自由職業(yè)。2013年10月開始接觸HackingTeam， 提供各種瀏覽器組件的漏洞信息。Vitaliy早在2011年開始就給iDefense和惠普的Zero Day Initiative提交漏洞，主要也是瀏覽器組件方面，一般他直接向Hacking Team售賣漏洞，但也有一些跡象表明他還通過(guò)Netragard的Exploit Acquisition Program出售漏洞(CANDLESTICK-BARNE的描述和Vitaliy提供Flash漏洞給HackingTeam 描述一模一樣)

定價(jià)：Vitaliy以非獨(dú)家方式賣了多個(gè)Flash漏洞利用代碼給HackingTeam價(jià)錢都比較低大約為$ 35-45K，而獨(dú)家的話是非獨(dú)家價(jià)格的三倍，說(shuō)明非獨(dú)家的漏洞信息可能被重復(fù)出售很多次。而其他供應(yīng)商通常不這么低價(jià)的售賣非獨(dú)家的漏洞，以Firefox的漏洞為例，Vulnerabilities BrokerageInternational漏洞供應(yīng)商對(duì)于非獨(dú)家的只會(huì)提供20%的折扣。

協(xié)議測(cè)試期：對(duì)于第一次購(gòu)買，Hacking Team 有一個(gè)三天的評(píng)估期，以測(cè)試0day的有效性，HackingTeam原本是希望Vitaliy飛到米蘭顯示測(cè)試效果的。但是Vitaliy允許HackingTeam遠(yuǎn)程進(jìn)行測(cè)試。后來(lái)他們就一直沿用了這種驗(yàn)證方式。

付款結(jié)構(gòu)：Vitaliy開始的兩個(gè)漏洞的付款協(xié)議大約是按照50%/ 25%/ 25%的支付方式。也就是一開始Vitaliy獲得50%，如果漏洞沒有被修復(fù)接下來(lái)兩個(gè)月再獲得剩下的25%。在銷售第三個(gè)漏洞時(shí)，Vitaliy想一次性獲得全款，如果在后面兩個(gè)月 出現(xiàn)被修復(fù)的情況，則提供一個(gè)替代的漏洞。但由于溝通的問(wèn)題以及信任的問(wèn)題。最終也是分開付款的。

漏洞利用：Vitaliy在2013年底開始賣漏洞給hacking team，包括3個(gè)Flash遠(yuǎn)程執(zhí)行代碼漏洞，兩個(gè)Safari的遠(yuǎn)程執(zhí)行代碼漏洞和一個(gè)Silverlight漏洞。Hacking Team還向Vitaliy要權(quán)限提升的和沙盒逃逸的。但是一直都沒有得到回應(yīng)。

下面是Vitaliy的漏洞出售信息：

關(guān)于Adobe security：Vitaliy出 售兩個(gè)相似漏洞給Hacking Team后，Hacking Team擔(dān)心一個(gè)漏洞有補(bǔ)丁后，Adobe 將修復(fù)另一個(gè)相似漏洞，導(dǎo)致他們兩個(gè)購(gòu)買都沒有作用，但是Vitaliy聲稱Adobe的安全做得很差，已他的經(jīng)驗(yàn)adobe是不會(huì)發(fā)現(xiàn)相似漏洞。結(jié)果實(shí)際上Adobe在四月份修復(fù)了CVE-2015-0349，缺沒有發(fā)現(xiàn)第二個(gè)CVE-2015-5119漏洞，直到Hacking Team被黑了，郵件信息曝光后，adobe才修復(fù)第二個(gè)漏洞。

2) Netragard

美國(guó)公司：由Adriel Desautels運(yùn)營(yíng)的Netragard是一家信息安全顧問(wèn)商和漏洞中間商。Hacking Team與Netragard第一次接觸是2011年7月，但是直到2013年才確立合作關(guān)系。按Adriel Desautels的說(shuō)法1999年就已經(jīng)開始做漏洞販賣商。他在Hacking Team 被入侵后 就關(guān)閉了他的販賣計(jì)劃(ExploitAcquisition Program)。

客戶關(guān)系：Netragard的ExploitAcquisition Program聲稱并不向美國(guó)以外的的買家銷售。所以HackingTeam利用Alex Velasco的CICOM USA作為代理和Netragard溝通，以此滿足Netragard的條款。但是隨著HackingTeam與CICOM USA關(guān)系惡化，后來(lái)(2015年3月)Netragard就直接和HackingTeam合作了。從郵件中顯示Netragard聲稱要和更多的國(guó)際買家合作。不過(guò)像西歐的盧森堡想向Netragard買漏洞，Netragard表示更愿意以HackingTeam作為中間商。由此可見在地下0day交易市場(chǎng)其實(shí)還是很看重已建立的互相關(guān)系。

買家合同：Hacking Team與Netragard之間簽訂了一個(gè)買家合同。其中有一些有意思的條款。比如金額等于或低于4萬(wàn)美元的漏洞可以在一個(gè)月之后一次性付款，不然將分開按照50%/25%/25%的方式。

購(gòu)買歷史：2014年6月，HackingTeam表示希望購(gòu)買STARLIGHT-MULHERN一個(gè)針對(duì)AdobeReader11客戶端的漏洞，附帶整合了繞過(guò)沙盒的功能。開始的價(jià)格是$100k，但后來(lái)最終價(jià)格是$80.5k，似乎是由于沒有繞過(guò)沙盒的功能。另外，也曾經(jīng)有在測(cè)試漏洞利用代碼期間，HackingTeam發(fā)現(xiàn)在Windows8.1/x64上不生效的情況。后來(lái)經(jīng)過(guò)Netragard的協(xié)商，開發(fā)者可以提供針對(duì)windows8.1的功能，但是需要增加$30k，這個(gè)價(jià)格已經(jīng)比單獨(dú)提供有優(yōu)惠，但是從泄露的郵件看，并沒有顯示HackingTeam為此買賬。最后這個(gè)漏洞在2015年5月份的時(shí)候被Adobe修復(fù)。

3) Qavar

新加坡公司，2014年4月HackingTeam參加了在新加坡舉行的SyScan 大會(huì)，希望招募一些新的漏洞開發(fā)人員。因?yàn)镠ackingTeam相信像VUPEN這樣的“軍火商”通常都是簡(jiǎn)單的倒賣一下就大大提高了漏洞利用代碼的價(jià)格，如果可以與研究人員直接聯(lián)系，可以拿到更低的價(jià)格。而這次大會(huì)上，HackingTeam就成功挖到Eugene Ching(亞洲人，linkedin上也有他的資料)。Eugene Ching的PoC演示另HackingTeam的安全防御團(tuán)隊(duì)印象很深。并且Eugene Ching表示有意離開目前的D-crypt's Xerodaylab 去成立一個(gè)新公司。于是在2014年8月的時(shí)候EugeneChing成立了Qavar Security Ltd公司。并和HackingTeam簽訂了為期1年的合同，明確規(guī)定了$80kSGD(約$60k美元)的補(bǔ)償。合同還包含三年的非競(jìng)爭(zhēng)和競(jìng)業(yè)禁止協(xié)議。經(jīng)過(guò)幾個(gè)月的開發(fā)，在2015年4月的時(shí)候，Eugene準(zhǔn)備好給HackingTeam交付針對(duì)windows32和64位，上至windows8.1有效的漏洞利用代碼。Eugene為此獲得$30SGD(大約$20k美元)獎(jiǎng)金。

4) VUPEN

法國(guó)，一家國(guó)際性的漏洞開發(fā)商和中間商。2009年開始與HackingTeam有聯(lián)系。VUPEN提供零日漏洞信息，但是是提供舊漏洞的存檔和POC。

不信任：

開始HackingTeam跟VUPEN的合作就不是太好，他們得到的漏洞利用代碼都只是針對(duì)一些不常見的，舊的，特定的軟件。雖然他們?cè)?011年合同里 面協(xié)商過(guò)交叉促進(jìn)，但是并沒有實(shí)質(zhì)性的提高。HackingTeam抱怨VUPEN并沒有拿出和其名聲(多次Pwn20wn大賽得獎(jiǎng)?wù)?匹配的的漏洞利用 代碼。同時(shí)HackingTeam還擔(dān)心VUPEN與其競(jìng)爭(zhēng)對(duì)手Gamma International之間的親密關(guān)系。VUPEN聲稱高質(zhì)量的漏洞利用代碼每個(gè)成本要$100k，所以不值得以$50k的價(jià)格賣給 HackingTeam的客戶。

雖 然他們?cè)?jīng)討論過(guò)對(duì)合同重新談判，但是雙方都對(duì)彼此不信任。HackingTeam還曾經(jīng)因?yàn)閂UPEN的漏洞利用代碼而備受傷害，一份卡巴斯基的報(bào)告 稱，發(fā)現(xiàn)HackingTeam使用的payload，而實(shí)際上是通過(guò)追蹤VUPEN的漏洞利用代碼包發(fā)現(xiàn)的。VUPEN還為HackingTeam提供 過(guò)幾個(gè)針對(duì)Android平臺(tái)的不同的遠(yuǎn)程執(zhí)行代碼和本地提取漏洞，但是并不是所有都是0day，而HackingTeam認(rèn)為這些漏洞的價(jià)格太高。雖然 他們對(duì)iOS的漏洞很感興趣，但是VUPEN表示只能限于特定的客戶(很可能是政府單位)

5) Vulnerabilities Brokerage International

美國(guó)，由 DustinTrammel運(yùn)營(yíng)，也被稱為I)ruid，也是一家漏洞中間商。最開始與HackingTeam有聯(lián)系是2013年8月，但從泄露的郵件并 沒看出來(lái)他們是如何，在什么時(shí)候建起其關(guān)系的。也沒有顯示Hacking Team從VBI處購(gòu)買任何漏洞，但是他們的確就一些漏洞進(jìn)行過(guò)談價(jià)。VBI經(jīng)常會(huì)給他的客戶發(fā)一些更新(通常都是加密的)，而HackingTeam就 習(xí)慣性的進(jìn)行轉(zhuǎn)發(fā)。好幾個(gè)轉(zhuǎn)發(fā)里面都包括一個(gè)PDF，里面含有VBI的漏洞利用代碼列表。如下所示：

HackingTeam開始和VBI談判購(gòu)買事宜的是在2013年11月，漏洞編號(hào)VBI-13-013，是windows的本地提取漏洞，可以用于繞過(guò)應(yīng)用沙盒。獨(dú)家 價(jià)$95K(當(dāng)初開價(jià)是$150k)包括兩周的漏洞測(cè)試期，和有效期。付費(fèi)架構(gòu)是付50%頭款，在接下來(lái)分四個(gè)月支付12.5%。但目前泄露的郵件 看，HackingTeam并沒有最終購(gòu)買這個(gè)漏洞。因?yàn)樵诮酉聛?lái)的溝通里面測(cè)試期還沒有開始這個(gè)漏洞就沒有再談?wù)摿?，而且在后?lái)VBI的產(chǎn)品更新表中也 仍然有這個(gè)漏洞表明這個(gè)漏洞并非獨(dú)家給HackingTeam。

HackingTeam 還表示對(duì)VBI-14-004和VBI-14-005感興趣，分別是Adobe Reader和windows內(nèi)核的沙盒逃逸漏洞，但是后來(lái)他們了解到兩個(gè)漏洞組合要$200k，就沒有下文了。2014年11月的時(shí)候還談過(guò)一個(gè) FireFox的漏洞(VBI-14-008)，他們主要想用來(lái)對(duì)Tor瀏覽器進(jìn)行攻擊。但是他們其實(shí)對(duì)更高級(jí)版本的瀏覽器感興趣，這個(gè)漏洞利用代碼如果 是獨(dú)家價(jià)是$105k，非獨(dú)家價(jià)是$84k，最后因?yàn)檎勁刑L(zhǎng)以及已經(jīng)在別的地方賣了，就沒有談成。

6) Rosario Valotta

一個(gè)意大利安全研究人員(2014年曾經(jīng)在Syscan360大會(huì)上講過(guò)瀏覽器fuzzing技術(shù))，專 注于瀏覽器安全和fuzzing。至少在2013年5月開始與Hacking Team聯(lián)系。Rosario專注于測(cè)試用例，但并不寫漏洞利用代碼。期間他專注于SVG,XSLT和XPath的fuzzing，直到他由于家庭原因在 2014年1月終止與HackingTeam的合同之前，他每月獲得$3.5k歐元的工資。終止合同之后，他還多次為HackingTeam提供IE的 fuzzing測(cè)試用例和Filejafuzzer，當(dāng)然這是在Syscan360公開前提供的。由于fuzzer結(jié)果距離真正的漏洞利用還有一段距離， 實(shí)際上HackingTeam能利用的fuzzing結(jié)果并不多。不過(guò)值得一提的是有一個(gè)漏洞在2013年10月份的時(shí)候提交給了 HackingTeam，而VUPEN在2014年5月的時(shí)候利用同樣一個(gè)漏洞贏得Pwn2Own大獎(jiǎng)。

7) COSEIN

一家新 加坡安全信息顧問(wèn)和0day漏洞供應(yīng)商。創(chuàng)始人Thomas Lim。同時(shí)還運(yùn)營(yíng)組織SyScan安全會(huì)議。Hacking Team最早在2013年提出購(gòu)買COSEINC的漏洞，但對(duì)那時(shí)候提供的IE9漏洞不感興趣。在2014年SyScan大會(huì)之后，ThomasLim提 供了幾個(gè)漏洞要賣給Hacking Team，但是他并不想通過(guò)電話或者在新加坡討論有關(guān)的銷售事宜。最后通過(guò)協(xié)商在一個(gè)第三方國(guó)家見面，HackingTeam收到一份COSEINC愿意 提供的漏洞清單。兩個(gè)是針對(duì)舊的已被修復(fù)的漏洞，第三個(gè)是針對(duì)IE低級(jí)到中級(jí)權(quán)限提升的，標(biāo)價(jià)$500SGD($360k美元)，泄露的郵件顯示 HackingTeam認(rèn)為標(biāo)價(jià)過(guò)高了。

8) 其他公司

·Keen Team—中國(guó)，2014SyScan大會(huì)上Hacking Team與KeenTeam接觸，表示有興趣購(gòu)買該公司的漏洞信息，但是從泄露的郵件信息看，并沒有記錄表明KeenTeam打算售賣給他們。

·Ability Ltd—以色列公司，專注于攔截和解密工具。創(chuàng)始人Anatoly Hurgin，2013年1月接觸Hacking Team，討論可以轉(zhuǎn)售其RCS遠(yuǎn)控軟件給NSO的監(jiān)控軟件給哪家客戶。2014年12月，提供針對(duì)OS X-specific的Flash漏洞給Hacking Team，但Hacking Team認(rèn)為價(jià)格太高。沒有記錄表明具體的價(jià)格。

·DSquare Security–出售CANVAS漏洞包。2009年Hacking Team購(gòu)買漏洞包，但很快發(fā)現(xiàn)不適合其業(yè)務(wù)。

·LEO Impact Security–Hacking Team從該公司購(gòu)買了一個(gè)假的微軟Office漏洞。

·ReVuln是一家意大利漏洞供應(yīng)商，創(chuàng)始人Luigi Auriemma。Hacking Team聯(lián)系過(guò)該公司，但是發(fā)現(xiàn)其漏洞主要是服務(wù)器側(cè)的不適合公司業(yè)務(wù)。

·Security Brokers–是一家意大利公司，創(chuàng)始人Raoul Chiesa零日漏洞的中間商。Hacking Team沒有聯(lián)系過(guò)該公司，因?yàn)樵摴九c其競(jìng)爭(zhēng)者有過(guò)合作。

最后作者通過(guò)整理發(fā)現(xiàn)傳說(shuō)中的iOS漏洞的確如傳聞中一樣很貴，而且其排他性基本上把第二梯隊(duì)的公司排除在外(例如HackingTeam)另一個(gè)慶幸的事 情是有關(guān)Java的漏洞，大部分瀏覽器廠商都把它禁用了，或者需要點(diǎn)擊一下才能運(yùn)行，而從目前暴露的郵件看，并沒有針對(duì)點(diǎn)擊運(yùn)行繞過(guò)的漏洞，或者可能有， 但是并不普遍。這也為瀏覽器廠商提供了一條禁用Adobe Flash的路。