使用Fuzzing挖掘零日漏洞

Infosec Insider Derek Manky 讨论了在当今的环境和新技术下如何促进安全领域的Fuzzing研究

Fuzzing是一个听起来很难认真对待的术语。但鉴于今天的攻击格局，我们需要它。Fuzzing一直是专业威胁研究人员用来发现硬件和软件接口和应用程序漏洞的复杂技术。他们通过将无效，意外或半随机数据注入接口或程序，然后监视崩溃，未记录的跳转到调试例程，失败的代码中断和潜在的内存泄漏等事件来实现此测试。这个过程可以帮助开发人员和研究人员发现漏洞和zero-day，否则几乎不可能发现这些漏洞。

幸运的是，网络犯罪分子并不经常使用Fuzzing来发现漏洞，这需要大量的自定义开发，很难做到。因为它们是以营利为目的来运作的，有更简单的攻击方法可以盈利时，使用Fuzzing的精力是不合理的。实际只有极少数人拥有开发和运行有效Fuzzing工具所需的专业知识 - 这也是为什么在极少数情况下他们使用Fuzzing时，喜欢选择更简单的DDoS攻击。

在如今的商用软件和操作系统中使用Fuzzing是可以发现和利用大量漏洞的。拥有一个未知的zero-day来攻击目标是价值很高的，但没有足够的专用Fuzzing工具或熟练的开发人员就很难发现它们。鉴于现在的科技的进步带来的机会，所有这一切都很快将发生变化。

AI使困难成为可能

随着机器学习的各种模型应用于模糊测试中，预计这种技术会变得更加高效和量身定制，不仅会帮助开发人员和研究人员，它也首次面向更广泛的技术不足的人群。

随着网络犯罪分子开始利用机器学习增强的自动化Fuzzing程序，他们将能够加速发现zero-day。这将导致针对不同程序和平台的零日攻击增加。由于难以预测和防御完全未知的攻击，这种发展可能是网络安全的重大改变。

这种方法称为人工智能Fuzzing（AIF）。只需要简单的知识就能够开发和训练Fuzzing程序，以自动化和加速发现零日攻击。然后只需将AIF应用程序指向目标，他们就可以开始自动挖掘它以进行零日攻击。

AIF的两个机器学习阶段是Discovery和Exploit。在发现阶段，AIF工具将了解新目标的功能和要求，包括它用于结构化数据的模式。然后，在开发阶段，AIF工具将开始将有意设计的结构化数据注入该软件或界面，监控结果，使用机器学习来优化攻击，并最终迫使目标中断。这构成了同时发现漏洞和利用漏洞。

这涉及机器学习方法，可以很容易地由训练有素的网络犯罪分子监督，并且可以重复 - 允许犯罪分子发现和利用zero-day，然后对受害者进行连续的攻击组合。在可以获得大量零日攻击的环境中，即使是用于检测未知威胁（如沙盒）的高级工具也很快就会被淹没。

AIF将如何影响网络犯罪经济

对于许多犯罪组织而言，攻击技术的评估不仅包括其有效性，还包括开发，修改和实施攻击技术所需的开销。许多攻击策略可以通过解决网络犯罪分子所采用的经济模式而不是绕过他们的攻击来解决。人员，流程和技术的战略性变化可能会迫使一些网络犯罪团体重新考虑使用某些攻击的财务价值。

组织打击攻击者的一种方式是采用新的技术和策略，如机器学习和自动化，来承担繁琐而耗时的安全活动，这些活动通常需要高度的人工监督和干预。这些新的防御策略可能会影响网络犯罪策略，导致不良行为者改变攻击方法并加速他们自己的开发工作。

但是，通过使用AIF，攻击者将能够根据他们的命令增加可用漏洞和漏洞的数量和种类，包括快速生成零日攻击的能力，甚至在黑暗网络上提供租用服务，例如零日即时采矿服务。这种服务的可用性需要彻底改变组织如何处理安全问题，因为没有办法预见这些零日在哪里，也没有办法正确地防范它们。使用当今大多数组织在其网络中部署的各种隔离的传统安全工具尤其如此。

反击

曾经是国防研究人员的职权范围，先进的模糊测试准备落入犯罪团体的手中。人工智能模糊测试将改变攻击者和目标的游戏。一种有效的反击方法是追求犯罪组织的基本经济战略。组织不需要陷入永久的军备竞赛，而是需要利用自动化，机器学习和人工智能来预测威胁并改变战略，以便对手不再具有经济可行性。