0day漏洞市場一直由于其天然的隱秘性而不為人知。近日，研究人員(Vlad Tsyrklevich)透過Hacking Team被入侵而泄露的一些列郵件，對與HackingTeam有關的0day漏洞供應商做了一個梳理。從一定角度了解到0day市場的情況——漏洞市場背后都有哪些0day供應商?是怎么支付的?他們怎樣結識上的?哪些漏(ruan)洞(jian)值(an)錢(quan)?這個市場也談關系嗎?

[[145168]]

從這些郵件的分析顯示，很多供應商直接將0day漏洞信息賣給政府，導致Hackingteam的0day漏洞供應商范圍變得很小。一些已確定的漏洞供應商(比如VUPEN和COSEINC)，確實會賣漏洞信息給Hacking Team，但價格過高，漏洞信息也不是最新的，甚至并不是0day漏洞。所以在選擇既可靠又實惠的供應商上，Hacking Team面臨很多難題。

總體情況介紹

Hacking Team和零日漏洞供應商之間的關系要追溯到2009年，那時候，他們正從信息安全顧問公司轉變為發展監控業務。一開始他們很興奮從D2Sec和VUPEN公司購買漏洞，但是卻發現并不是他們所需要的客戶端側的漏洞。雖然2012年底，CitizenLab發布了關于Hacking Team用于鎮壓阿聯酋激進分子所使用的軟件報告。(Citizen Lab，是加拿大多倫多大學三一學院的蒙克國際研究中心下設的一個研究單位。專注于研究通訊技術、人權與全球安全的三者所交融的區域)但并沒有對HackingTeam與這些供應商的關系有太大打擊。

在2013年Hacking Team的CEO還提到在尋找新漏洞供應商方面面臨的困難。同一年，Hacking Team聯系了很多公司，包括 Netragard, VitaliyToropov, Vulnerabilities Brokerage International和RosarioValotta。2014年，他們開始與QavarSecurity公司的合作更密切。

那些與HT有染的0day漏洞供應商

1) Vitaliy Toropov

商業模式：俄羅斯漏洞開發人員，自由職業。2013年10月開始接觸HackingTeam， 提供各種瀏覽器組件的漏洞信息。Vitaliy早在2011年開始就給iDefense和惠普的Zero Day Initiative提交漏洞，主要也是瀏覽器組件方面，一般他直接向Hacking Team售賣漏洞，但也有一些跡象表明他還通過Netragard的Exploit Acquisition Program出售漏洞(CANDLESTICK-BARNE的描述和Vitaliy提供Flash漏洞給HackingTeam 描述一模一樣)

定價：Vitaliy以非獨家方式賣了多個Flash漏洞利用代碼給HackingTeam價錢都比較低大約為$ 35-45K，而獨家的話是非獨家價格的三倍，說明非獨家的漏洞信息可能被重復出售很多次。而其他供應商通常不這么低價的售賣非獨家的漏洞，以Firefox的漏洞為例，Vulnerabilities BrokerageInternational漏洞供應商對于非獨家的只會提供20%的折扣。

協議測試期：對于第一次購買，Hacking Team 有一個三天的評估期，以測試0day的有效性，HackingTeam原本是希望Vitaliy飛到米蘭顯示測試效果的。但是Vitaliy允許HackingTeam遠程進行測試。后來他們就一直沿用了這種驗證方式。

付款結構：Vitaliy開始的兩個漏洞的付款協議大約是按照50%/ 25%/ 25%的支付方式。也就是一開始Vitaliy獲得50%，如果漏洞沒有被修復接下來兩個月再獲得剩下的25%。在銷售第三個漏洞時，Vitaliy想一次性獲得全款，如果在后面兩個月 出現被修復的情況，則提供一個替代的漏洞。但由于溝通的問題以及信任的問題。最終也是分開付款的。

漏洞利用：Vitaliy在2013年底開始賣漏洞給hacking team，包括3個Flash遠程執行代碼漏洞，兩個Safari的遠程執行代碼漏洞和一個Silverlight漏洞。Hacking Team還向Vitaliy要權限提升的和沙盒逃逸的。但是一直都沒有得到回應。

下面是Vitaliy的漏洞出售信息：

關于Adobe security：Vitaliy出 售兩個相似漏洞給Hacking Team后，Hacking Team擔心一個漏洞有補丁后，Adobe 將修復另一個相似漏洞，導致他們兩個購買都沒有作用，但是Vitaliy聲稱Adobe的安全做得很差，已他的經驗adobe是不會發現相似漏洞。結果實際上Adobe在四月份修復了CVE-2015-0349，缺沒有發現第二個CVE-2015-5119漏洞，直到Hacking Team被黑了，郵件信息曝光后，adobe才修復第二個漏洞。

2) Netragard

美國公司：由Adriel Desautels運營的Netragard是一家信息安全顧問商和漏洞中間商。Hacking Team與Netragard第一次接觸是2011年7月，但是直到2013年才確立合作關系。按Adriel Desautels的說法1999年就已經開始做漏洞販賣商。他在Hacking Team 被入侵后 就關閉了他的販賣計劃(ExploitAcquisition Program)。

客戶關系：Netragard的ExploitAcquisition Program聲稱并不向美國以外的的買家銷售。所以HackingTeam利用Alex Velasco的CICOM USA作為代理和Netragard溝通，以此滿足Netragard的條款。但是隨著HackingTeam與CICOM USA關系惡化，后來(2015年3月)Netragard就直接和HackingTeam合作了。從郵件中顯示Netragard聲稱要和更多的國際買家合作。不過像西歐的盧森堡想向Netragard買漏洞，Netragard表示更愿意以HackingTeam作為中間商。由此可見在地下0day交易市場其實還是很看重已建立的互相關系。

買家合同：Hacking Team與Netragard之間簽訂了一個買家合同。其中有一些有意思的條款。比如金額等于或低于4萬美元的漏洞可以在一個月之后一次性付款，不然將分開按照50%/25%/25%的方式。

購買歷史：2014年6月，HackingTeam表示希望購買STARLIGHT-MULHERN一個針對AdobeReader11客戶端的漏洞，附帶整合了繞過沙盒的功能。開始的價格是$100k，但后來最終價格是$80.5k，似乎是由于沒有繞過沙盒的功能。另外，也曾經有在測試漏洞利用代碼期間，HackingTeam發現在Windows8.1/x64上不生效的情況。后來經過Netragard的協商，開發者可以提供針對windows8.1的功能，但是需要增加$30k，這個價格已經比單獨提供有優惠，但是從泄露的郵件看，并沒有顯示HackingTeam為此買賬。最后這個漏洞在2015年5月份的時候被Adobe修復。

3) Qavar

新加坡公司，2014年4月HackingTeam參加了在新加坡舉行的SyScan 大會，希望招募一些新的漏洞開發人員。因為HackingTeam相信像VUPEN這樣的“軍火商”通常都是簡單的倒賣一下就大大提高了漏洞利用代碼的價格，如果可以與研究人員直接聯系，可以拿到更低的價格。而這次大會上，HackingTeam就成功挖到Eugene Ching(亞洲人，linkedin上也有他的資料)。Eugene Ching的PoC演示另HackingTeam的安全防御團隊印象很深。并且Eugene Ching表示有意離開目前的D-crypt's Xerodaylab 去成立一個新公司。于是在2014年8月的時候EugeneChing成立了Qavar Security Ltd公司。并和HackingTeam簽訂了為期1年的合同，明確規定了$80kSGD(約$60k美元)的補償。合同還包含三年的非競爭和競業禁止協議。經過幾個月的開發，在2015年4月的時候，Eugene準備好給HackingTeam交付針對windows32和64位，上至windows8.1有效的漏洞利用代碼。Eugene為此獲得$30SGD(大約$20k美元)獎金。

4) VUPEN

法國，一家國際性的漏洞開發商和中間商。2009年開始與HackingTeam有聯系。VUPEN提供零日漏洞信息，但是是提供舊漏洞的存檔和POC。

不信任：

開始HackingTeam跟VUPEN的合作就不是太好，他們得到的漏洞利用代碼都只是針對一些不常見的，舊的，特定的軟件。雖然他們在2011年合同里 面協商過交叉促進，但是并沒有實質性的提高。HackingTeam抱怨VUPEN并沒有拿出和其名聲(多次Pwn20wn大賽得獎者)匹配的的漏洞利用 代碼。同時HackingTeam還擔心VUPEN與其競爭對手Gamma International之間的親密關系。VUPEN聲稱高質量的漏洞利用代碼每個成本要$100k，所以不值得以$50k的價格賣給 HackingTeam的客戶。

雖 然他們曾經討論過對合同重新談判，但是雙方都對彼此不信任。HackingTeam還曾經因為VUPEN的漏洞利用代碼而備受傷害，一份卡巴斯基的報告 稱，發現HackingTeam使用的payload，而實際上是通過追蹤VUPEN的漏洞利用代碼包發現的。VUPEN還為HackingTeam提供 過幾個針對Android平臺的不同的遠程執行代碼和本地提取漏洞，但是并不是所有都是0day，而HackingTeam認為這些漏洞的價格太高。雖然 他們對iOS的漏洞很感興趣，但是VUPEN表示只能限于特定的客戶(很可能是政府單位)

5) Vulnerabilities Brokerage International

美國，由 DustinTrammel運營，也被稱為I)ruid，也是一家漏洞中間商。最開始與HackingTeam有聯系是2013年8月，但從泄露的郵件并 沒看出來他們是如何，在什么時候建起其關系的。也沒有顯示Hacking Team從VBI處購買任何漏洞，但是他們的確就一些漏洞進行過談價。VBI經常會給他的客戶發一些更新(通常都是加密的)，而HackingTeam就 習慣性的進行轉發。好幾個轉發里面都包括一個PDF，里面含有VBI的漏洞利用代碼列表。如下所示：

HackingTeam開始和VBI談判購買事宜的是在2013年11月，漏洞編號VBI-13-013，是windows的本地提取漏洞，可以用于繞過應用沙盒。獨家 價$95K(當初開價是$150k)包括兩周的漏洞測試期，和有效期。付費架構是付50%頭款，在接下來分四個月支付12.5%。但目前泄露的郵件 看，HackingTeam并沒有最終購買這個漏洞。因為在接下來的溝通里面測試期還沒有開始這個漏洞就沒有再談論了，而且在后來VBI的產品更新表中也 仍然有這個漏洞表明這個漏洞并非獨家給HackingTeam。

HackingTeam 還表示對VBI-14-004和VBI-14-005感興趣，分別是Adobe Reader和windows內核的沙盒逃逸漏洞，但是后來他們了解到兩個漏洞組合要$200k，就沒有下文了。2014年11月的時候還談過一個 FireFox的漏洞(VBI-14-008)，他們主要想用來對Tor瀏覽器進行攻擊。但是他們其實對更高級版本的瀏覽器感興趣，這個漏洞利用代碼如果 是獨家價是$105k，非獨家價是$84k，最后因為談判太長以及已經在別的地方賣了，就沒有談成。

6) Rosario Valotta

一個意大利安全研究人員(2014年曾經在Syscan360大會上講過瀏覽器fuzzing技術)，專 注于瀏覽器安全和fuzzing。至少在2013年5月開始與Hacking Team聯系。Rosario專注于測試用例，但并不寫漏洞利用代碼。期間他專注于SVG,XSLT和XPath的fuzzing，直到他由于家庭原因在 2014年1月終止與HackingTeam的合同之前，他每月獲得$3.5k歐元的工資。終止合同之后，他還多次為HackingTeam提供IE的 fuzzing測試用例和Filejafuzzer，當然這是在Syscan360公開前提供的。由于fuzzer結果距離真正的漏洞利用還有一段距離， 實際上HackingTeam能利用的fuzzing結果并不多。不過值得一提的是有一個漏洞在2013年10月份的時候提交給了 HackingTeam，而VUPEN在2014年5月的時候利用同樣一個漏洞贏得Pwn2Own大獎。

7) COSEIN

一家新 加坡安全信息顧問和0day漏洞供應商。創始人Thomas Lim。同時還運營組織SyScan安全會議。Hacking Team最早在2013年提出購買COSEINC的漏洞，但對那時候提供的IE9漏洞不感興趣。在2014年SyScan大會之后，ThomasLim提 供了幾個漏洞要賣給Hacking Team，但是他并不想通過電話或者在新加坡討論有關的銷售事宜。最后通過協商在一個第三方國家見面，HackingTeam收到一份COSEINC愿意 提供的漏洞清單。兩個是針對舊的已被修復的漏洞，第三個是針對IE低級到中級權限提升的，標價$500SGD($360k美元)，泄露的郵件顯示 HackingTeam認為標價過高了。

8) 其他公司

· Keen Team—中國，2014SyScan大會上Hacking Team與KeenTeam接觸，表示有興趣購買該公司的漏洞信息，但是從泄露的郵件信息看，并沒有記錄表明KeenTeam打算售賣給他們。

· Ability Ltd—以色列公司，專注于攔截和解密工具。創始人Anatoly Hurgin，2013年1月接觸Hacking Team，討論可以轉售其RCS遠控軟件給NSO的監控軟件給哪家客戶。2014年12月，提供針對OS X-specific的Flash漏洞給Hacking Team，但Hacking Team認為價格太高。沒有記錄表明具體的價格。

· DSquare Security–出售CANVAS漏洞包。2009年Hacking Team購買漏洞包，但很快發現不適合其業務。

· LEO Impact Security–Hacking Team從該公司購買了一個假的微軟Office漏洞。

· ReVuln是一家意大利漏洞供應商，創始人Luigi Auriemma。Hacking Team聯系過該公司，但是發現其漏洞主要是服務器側的不適合公司業務。

· Security Brokers–是一家意大利公司，創始人Raoul Chiesa零日漏洞的中間商。Hacking Team沒有聯系過該公司，因為該公司與其競爭者有過合作。

最后作者通過整理發現傳說中的iOS漏洞的確如傳聞中一樣很貴，而且其排他性基本上把第二梯隊的公司排除在外(例如HackingTeam)另一個慶幸的事 情是有關Java的漏洞，大部分瀏覽器廠商都把它禁用了，或者需要點擊一下才能運行，而從目前暴露的郵件看，并沒有針對點擊運行繞過的漏洞，或者可能有， 但是并不普遍。這也為瀏覽器廠商提供了一條禁用Adobe Flash的路。