近日,360威胁情报中心发布《Quantum(量子)攻击系统 – 美国国家安全局“APT-C-40”黑客组织高端网络攻击武器技术分析报告》(简称《报告》)。报道称,美国国家安全局(NSA)官方机密文件显示,Quantum(量子)攻击可以劫持全球任何地区任何在线用户的正常网页浏览流量,进行0day漏洞利用攻击并远程攻击。植入后门程序。利用浏览器0-day漏洞进行攻击的案例近两年,研究人员发现攻击者利用浏览器0-day漏洞进行攻击的案例很多。2021年3月,微软修复了其浏览器InternetExplorer中与内存损坏相关的零日安全漏洞CVE-2021-26411。攻击者可以利用该漏洞诱骗用户访问精心设计的恶意网站,实现远程代码执行。该漏洞的用途也被黑客组织用来实施APT攻击。2021年4月,Chrome浏览器连续暴露两个远程代码执行零日漏洞POC。攻击者可以利用这两个漏洞构建恶意网页,诱导受害者点击访问。访问该页面的用户将触发远程代码执行。量子(quantum)系统攻击方式通过分析NSA官方机密文件《NSA Ant Product Catalog》、《NSA QUANTUM Tasking Techniques for the R&T Analyst》、《QUANTUM Shooter SBZ Notes》,安信网盾安全专家发现,量子(quantum)系统的核心攻击方式大致如下:1准备阶段:在互联网骨干网上部署攻击平台FoxAcid(酸狐,假冒网站)服务器,在网络传输线上建立被动监控节点TurMoil(混沌,后门监控系统)。2、劫持阶段:当受害者访问特定网站(如Facebook、Twitter等)时,TurMoil会监控网络流量,并通过Turbine(后门植入工具)发送Quantum(量子)注入攻击,迫使受害者访问FoxAcid服务器。量子(quantum)攻击系统示例图3攻击阶段:通过FoxAcid服务器进行攻击,利用受害终端使用的浏览器0-day漏洞,植入NSA专属后门程序。4、潜伏阶段:通过在受害者终端植入NSA专属后门程序,如VALIDATOR(验证器)、UNITEDRAKE(联合耙子)等,窃取受害者个人隐私、在线数据等大量内容。基于内存保护的漏洞利用保护通过以上分析可以发现,Quantum(量子)攻击系统的主体是FoxAcid(酸狐狸)服务器,其攻击方式是受害者通过一个浏览器。FoxAcid通过浏览器0day漏洞向受害者终端植入后门。基于内存保护的漏洞利用防护产品的核心能力之一就是防止浏览器零日漏洞被利用,如图所示。基于内存保护的漏洞利用保护示例图不同于传统的安全产品。内存保护系统在程序运行时建立安全保护能力。它由内存访问行为监控、程序行为监控、行为分析引擎、关联分析模块、响应模块等组成。通过监控程序的内存读、写、执行、属性修改等行为,判断程序的内存访问行为和程序行为的合理性,进而识别内存中的异常访问和恶意行为执行,实时阻断恶意程序运行的防护产品。内存保护系统无需频繁升级即可检测未知漏洞,帮助用户在没有补丁或打补丁时降低漏洞被利用的风险。
