什么是零日攻击(a zero-day attack)？

零日攻击（也称为零日攻击）是利用供应商或开发人员可能不知道的潜在严重软件安全弱点进行的攻击。软件开发人员必须在发现弱点后立即解决，以限制对软件用户的威胁。这个解决方案叫做软件补丁。零日攻击也可用于攻击物联网（IoT）。

零日攻击的名称来源于软件开发人员知道问题的天数。

关键要点

• 零日攻击是利用供应商或开发人员不知道的弱点进行的与软件相关的攻击。
• 这个名字来源于软件开发人员知道问题的天数。
• 修复零日攻击的解决方案称为软件修补程序。
• 零日攻击是可以预防的，但并不总是这样，
• 零日攻击有不同的市场，从合法到非法。它们包括白市、灰市和黑市。

理解零日攻击

零日攻击可能涉及恶意软件、广告软件、间谍软件或未经授权访问用户信息。用户可以将自己的软件（包括操作系统、防病毒软件和internet浏览器）设置为自动更新，并在定期更新之外及时安装任何建议的更新，从而保护自己免受零日攻击。

也就是说，更新防病毒软件不一定能保护用户免受零日攻击，因为在软件漏洞公开之前，防病毒软件可能无法检测到它。主机入侵防御系统还通过防止和防御入侵以及保护数据，帮助抵御零日攻击。

把零日漏洞想象成一个未锁的车门，车主以为门锁上了，但小偷发现门锁上了。小偷可以在未被发现的情况下进入车内，从车主的杂物箱或后备箱里偷东西，这些东西可能在几天后才被注意到，因为损坏已经造成，小偷早就走了。

虽然零日漏洞被犯罪黑客利用是众所周知的，但**安全机构也可以利用这些漏洞进行监视或攻击。事实上，**安全机构对零日漏洞的需求如此之大，以至于它们有助于推动市场买卖有关这些漏洞以及如何利用这些漏洞的信息。

零日漏洞可以公开披露，只向软件供应商披露，或**给第三方。如果它们被**，它们可以被**或没有独家权利。从负责安全漏洞的软件公司的角度来看，解决安全漏洞的最佳方法是让道德黑客或白帽私下向公司披露漏洞，以便在犯罪黑客发现漏洞之前将其修复。但在某些情况下，不止一方必须解决这一漏洞，才能完全解决这一问题，因此不可能进行完全的私人披露。

零日攻击市场

在零日信息的黑市中，犯罪黑客交换如何突破易受攻击软件窃取有价值信息的细节。在灰色市场中，研究人员和公司向军方、情报机构和执法部门**信息。在白市中，公司付钱给白帽黑客或安全研究人员，让他们检测软件漏洞并向开发者披露，这样他们就可以在犯罪黑客发现问题之前解决问题。

根据买家、卖家和有用性的不同，零日信息可能价值几千到几十万美元，这使得它成为一个潜在的有利可图的市场。在交易完成之前，卖方应提供概念证明（PoC）以确认零日漏洞的存在。对于那些希望在未被发现的情况下交换零日信息的人，Tor网络允许使用比特币匿名进行零日交易。

零日袭击的威胁可能比听起来要小。**可能有更容易的方法来监视他们的公民，零日可能不是剥削企业或个人的最有效的方法。攻击必须在目标不知情的情况下进行战略部署，才能发挥最大的效果。一次对数百万台计算机发动零天攻击可能会暴露该漏洞的存在，并导致补丁发布过快，使攻击者无法完成最终目标。

现实世界的例子

2017年4月，微软获悉其Microsoft Word软件遭到零日攻击。攻击者使用名为Dridex banker特洛伊木马的恶意软件攻击该软件的易受攻击且未修补的版本。该特洛伊木马允许攻击者在Word文档中嵌入恶意代码，打开文档时会自动触发这些恶意代码。该攻击是由反病毒软件供应商McAfee发现的，McAfee将其受损软件通知了微软。尽管零日攻击是在4月份发现的，但自1月份以来已经有数百万用户成为攻击目标。