零時差攻擊 Zero Day attack

零日漏洞（Zero-Day Vulnerability)

零日漏洞，也稱為零時差漏洞，指的是資訊系統中軟體、韌體或硬體中尚未被開發者發現或已知但尚未修補的漏洞。之所以稱為「零日」，是因為從開發者發現漏洞到駭客利用漏洞發起攻擊之間，修補的時間為零天。

在資訊領域，漏洞是指可能對系統或設備構成安全威脅的缺陷，這些威脅可能會危及資料的保密性、完整性、可用性以及訪問權限控制。漏洞通常是由於程式設計不當或軟體、韌體、硬體中的意料之外的弱點所造成。漏洞不會立即影響系統的正常運作，也不是開發者故意設置的後門，因此通常不易被發現。

零日漏洞的難以察覺特性，讓系統開發者或防毒軟體一時無法提供修補或偵測方案，這也給駭客留下了入侵的機會，進行網路攻擊。由於零日漏洞的利用價值極高，甚至經常被政府機關用於間諜活動或網絡戰爭。

攻擊手法

漏洞發現與惡意代碼編寫

攻擊者可能會通過幾種方式發現零日漏洞，例如自行探索軟體的缺陷，或購買從其他黑客手中得到的未公開漏洞。當發現漏洞後，攻擊者會撰寫針對該漏洞的專屬代碼。這些代碼可以利用系統設計不當的地方，例如錯誤的緩衝區管理、未經過適當驗證的輸入等，來獲得系統的非法訪問權限或控制權。

網絡釣魚攻擊

一個常見且有效的零日漏洞利用手法是透過網絡釣魚攻擊。攻擊者會向目標發送惡意電子郵件，這些郵件通常會包含惡意附件或連結。當使用者打開附件或點擊連結時，惡意程式就會被觸發並執行。由於釣魚郵件設計得極具迷惑性，許多用戶會毫無戒心地下載附件或點擊連結，從而讓攻擊者順利利用零日漏洞滲透系統。

釣魚郵件中的惡意附件通常會被偽裝成正常的檔案格式，如 PDF、Word 文件或 Excel 表格，而實際上，它們嵌入了利用零日漏洞的代碼。這些代碼一旦執行，攻擊者便能立即取得系統控制權，甚至能夠避開傳統防毒軟件的檢測，因為這些漏洞是全新且尚未被列入防毒庫中的。

惡意網站與下載攻擊

另一種零日攻擊方法是透過惡意網站進行的驅動下載攻擊 (Drive-by Download Attacks)。攻擊者會設置惡意網站，當使用者無意中瀏覽該網站時，利用零日漏洞的惡意程式會自動下載到使用者的裝置上，並悄悄地在背景中執行。這類攻擊通常不需要使用者主動進行下載或安裝，只需訪問網站即可觸發攻擊。

軟體更新劫持

供應鏈攻擊也是利用零日漏洞的常見手法之一。攻擊者滲透軟體開發商或其合作夥伴的系統，在合法的軟體更新包或安裝程式中植入惡意代碼。當使用者下載並安裝這些合法軟件更新時，攻擊者的惡意代碼會自動執行，進而控制使用者的系統。

如何防範

及早偵測與威脅情報分享

防禦零日漏洞的關鍵在於及早偵測異常行為並迅速反應。企業和機構應建立全面的安全監控系統，通過行為分析來檢測潛在的威脅。例如，基於異常系統活動的檢測技術可以識別在系統中進行的非正常操作，即便這些操作並未對應已知的漏洞簽名。

此外，威脅情報分享也是防禦零日攻擊的重要策略。安全社區和組織應該與開發者和安全研究人員保持聯繫，定期分享漏洞和攻擊的最新信息，這樣才能及早採取防護措施並加快漏洞修補速度。

系統加固與分層防禦

在防禦零日漏洞時，系統加固和分層防禦也是關鍵策略之一。組織可以通過應用軟件沙盒技術、加強使用者權限管理、並對高風險應用進行隔離來降低漏洞的影響。此外，分層防禦機制能夠有效減少攻擊者在系統中的橫向擴展，從而限制攻擊的範圍。

端點檢測與回應 (EDR)

端點檢測與回應 (Endpoint Detection and Response, EDR) 工具也能在防禦零日攻擊中發揮重要作用。這些工具能夠監控端點設備上的可疑活動，並及時回應潛在的威脅。當攻擊者企圖利用零日漏洞時，EDR 系統可以即時偵測異常並採取隔離或關閉操作來防止進一步的滲透。

參考資料

https://www.cloudflare.com/zh-tw/learning/security/threats/zero-day-exploit/
https://talk.ltn.com.tw/article/breakingnews/4760295
https://www.cloudflare.com/zh-tw/learning/security/threats/zero-day-exploit/
https://www.neway.com.tw/article-detail/0-day-vulnerabilities-vs-0-day-attacks/