漏洞知多少：一個「好」漏洞能給黑客帶來多少收益

一般的網路用戶都很討厭漏洞的存在，正如黑客都很喜歡漏洞的存在。當然，漏洞之所以被「偏愛」，是因為給黑客帶去的收益動輒就是幾百萬。即使是漏洞在收購平台，出價也是大家難以想像的，一個漏洞收購價格在幾十萬至上千萬人民幣不等。

在漏洞收購公司「ZERODIUM」（zerodium.com/program.html）的移動平台漏洞價目表中，可以看到，蘋果iOS系統的RJB Zero Click（零點擊、遠程、永久越獄）漏洞以150萬美金的起步價格高居榜首。一些常見軟體的漏洞，如Chrome瀏覽器漏洞，價格在5至15萬美元之間，安卓系統漏洞價格則在1.5萬至10萬美元之間。而微信、Telegram、iMessage等流行社交軟體的0day漏洞收購價格也有著50萬美金起步的高價。

ZERODIUM移動平台漏洞價目表

而在電腦的桌面系統/伺服器系統上，由於漏洞數量太多，單個漏洞價格相較移動平台有所降低。其中Windows系統的Win RCE Zero Click（零點擊、遠程、代碼執行）漏洞以30萬美元起步的價格居於榜首，其價格會根據漏洞的影響範圍而浮動，如「永恆之藍」這種涉及主流Windows系統的超級漏洞，收購價格超過百萬隻是等閑。

ZERODIUM桌面/伺服器平台漏洞價目表

可以看出，一個常用程序或可用的系統漏洞，本身的安全價值便已達數萬至數百萬美元，在非法網路黑市上的交易價格更是該價格的數倍。而如果黑客制定了周密的漏洞利用計劃，將其用作系統滲透或病毒攻擊的武器，獲得的收益足以達到該價格的數十倍。如果漏洞比較「優秀」，還會被不同的病毒利用，「創造的價值」也就更高了。

例如：2003年8月爆發的衝擊波病毒，同年瘋狂傳播的Yaha蠕蟲病毒，就都利用了RPC溢出漏洞「CVE-2003-0352」 （如下圖）。

2005年出現的Phel木馬以及ANI蠕蟲，都利用了漏洞「CVE-2004-1049」（如下圖）。

曾被2010年大名鼎鼎的Stuxnet(震網)蠕蟲利用的漏洞「CVE-2010-2568」（如下圖）。

所以說，漏洞和病毒就像是一對雙生子，很多重大病毒的誕生，都少不了漏洞的參與，而一個漏洞的廣為人知，也多是由相關的病毒引發了關注。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！