零日攻击

什么是零日攻击

零日攻击 (Zero-Day Attack) 是在软件漏洞被发现到开发者发布补丁 (修复程序) 之间的"零天"窗口期内，利用该漏洞进行的攻击。由于不存在补丁，传统的补丁防御无效。

零日漏洞在黑市上以高价交易 - - iOS 远程代码执行漏洞可达数百万美元。国家级行为者和高级持续性威胁 (APT) 组织囤积零日漏洞用于情报行动和网络战。

零日攻击的生命周期

1. 漏洞发现：攻击者 (或安全研究人员) 发现软件中的未知漏洞。
2. 利用代码开发：创建利用该漏洞的代码 (exploit)。
3. 攻击执行：使用利用代码攻击目标。此时不存在补丁，基于签名的杀毒软件无法检测。
4. 漏洞披露：漏洞被报告给开发者或公开披露。开发者开始制作补丁。
5. 补丁发布：开发者发布修复。应用补丁的用户受到保护，但未打补丁的系统仍然脆弱。

关键危险期在第 3 步和第 5 步之间。这个窗口越长，损害越大。负责任的披露实践旨在通过在公开披露前与开发者协调来缩小这个窗口。

实际案例

• Log4Shell (2021 年)：在 Java 日志库 Log4j 中发现的漏洞 (CVE-2021-44228)。影响全球数亿台服务器，披露后 24 小时内即开始大规模攻击。供应链依赖关系的深度放大了损害。
• Stuxnet (2010 年)：利用多个 Windows 零日漏洞破坏伊朗核离心机的恶意软件。被认为是美以联合行动，证明了网络攻击可以造成基础设施的物理破坏。
• Pegasus (NSO Group)：利用 iOS 和 Android 零日漏洞在无需用户交互 (零点击) 的情况下感染智能手机的间谍软件。被用于监控记者和人权活动家，引发严重的人权关切。

零日攻击的防御策略

面对不存在补丁的攻击，纵深防御方法至关重要。

• WAF 部署：Web 应用防火墙不仅能检测已知攻击模式，还能检测异常请求模式。可以缓解部分零日攻击。
• EDR (端点检测与响应)：与依赖签名的传统杀毒软件不同，EDR 检测可疑行为 (异常进程执行、大规模文件访问) 并可自动隔离受影响端点。
• 网络分段：将网络划分为多个区段，即使一个区段被攻破也能限制影响范围。隔离关键系统尤为重要。
• 最小权限原则：仅授予用户和应用程序最少必要的权限，即使漏洞被利用也能限制攻击者造成的损害。
• 威胁情报：订阅威胁情报源，及时了解新发现的漏洞和攻击趋势，实现主动防御。

常见误解

零日攻击与普通人无关

当浏览器或操作系统存在零日漏洞时，普通用户也会受到影响。像 Log4Shell 这样广泛使用的库的漏洞，可能通过您使用的服务间接影响您。

杀毒软件能防止零日攻击

传统杀毒软件基于签名 (已知恶意软件的模式) 进行检测，无法应对未知攻击。需要具备行为检测和沙箱功能的下一代 EDR。

相关术语