警惕Quantum(量子)0day漏洞攻擊
責(zé)編:gltian |2022-03-29 14:53:34近日,360威脅情報(bào)中心發(fā)布了《Quantum(量子)攻擊系統(tǒng) – 美國(guó)國(guó)家安全局“APT-C-40”黑客組織高端網(wǎng)絡(luò)攻擊武器技術(shù)分析報(bào)告》(簡(jiǎn)稱《報(bào)告》)。該報(bào)告稱,美國(guó)國(guó)家安全局(簡(jiǎn)稱NSA)官方機(jī)密文件《Quantum Insert Diagrams》顯示,Quantum(量子)攻擊可以劫持全世界任意地區(qū)任意網(wǎng)上用戶的正常網(wǎng)頁(yè)瀏覽流量,進(jìn)行0day漏洞利用攻擊并遠(yuǎn)程植入后門程序。
利用瀏覽器0day漏洞實(shí)施攻擊的案例
過去兩年,研究人員發(fā)現(xiàn)攻擊者利用瀏覽器0day漏洞實(shí)施攻擊的案例非常多。
2021年3月,Microsoft在其瀏覽器Internet Explorer中修復(fù)了一個(gè)與內(nèi)存破壞有關(guān)的0day安全漏洞CVE-2021-26411,攻擊者利用該漏洞可以欺騙用戶訪問一個(gè)精心設(shè)計(jì)的惡意網(wǎng)站,達(dá)到遠(yuǎn)程執(zhí)行代碼的目的,該漏洞也曾被黑客組織用于實(shí)施APT攻擊。
2021年4月,Chrome瀏覽器連續(xù)被爆出2個(gè)遠(yuǎn)程代碼執(zhí)行0day漏洞POC,攻擊者利用這2個(gè)漏洞可以構(gòu)造一個(gè)惡意的Web頁(yè)面并誘導(dǎo)受害者點(diǎn)擊訪問,用戶訪問該頁(yè)面會(huì)觸發(fā)遠(yuǎn)程代碼執(zhí)行。
Quantum(量子)系統(tǒng)的攻擊方式
通過分析NSA官方機(jī)密文檔《NSA Ant Product Catalog》、《NSA QUANTUM Tasking Techniques for the R&T Analyst》、《QUANTUM Shooter SBZ Notes》,安芯網(wǎng)盾安全專家發(fā)現(xiàn)Quantum(量子)系統(tǒng)的核心攻擊方式大致如下:
1. 準(zhǔn)備階段:將攻擊平臺(tái)FoxAcid(酸狐貍,仿冒網(wǎng)站)服務(wù)器部署在互聯(lián)網(wǎng)骨干網(wǎng)中,在網(wǎng)絡(luò)傳輸線路上建立被動(dòng)監(jiān)聽節(jié)點(diǎn)TurMoil(混亂,后門監(jiān)聽系統(tǒng))。
2. 劫持階段:在受害者訪問特定網(wǎng)站(如臉書,推特等)時(shí),TurMoil會(huì)監(jiān)聽該網(wǎng)絡(luò)流量,通過Turbine(后門植入工具)發(fā)送Quantum(量子)注入攻擊,迫使受害者訪問FoxAcid服務(wù)器。
Quantum(量子)攻擊系統(tǒng)示例圖
3. 攻擊階段:通過FoxAcid服務(wù)器發(fā)起攻擊,利用受害者終端使用的瀏覽器0day漏洞,植入NSA專屬后門程序。
4. 駐留階段:通過植入受害者終端的NSA專屬后門程序,如VALIDATOR(驗(yàn)證器)、UNITEDRAKE(聯(lián)合耙)等大量竊取受害者個(gè)人隱私和上網(wǎng)數(shù)據(jù)等內(nèi)容。
基于內(nèi)存保護(hù)的漏洞利用防護(hù)
通過上述分析可以發(fā)現(xiàn),Quantum(量子)攻擊系統(tǒng)發(fā)起最終攻擊的主體是FoxAcid(酸狐貍)服務(wù)器,而它的攻擊方式是在受害者通過瀏覽器訪問該FoxAcid服務(wù)器時(shí),F(xiàn)oxAcid通過瀏覽器0day漏洞向受害者終端中植入后門。
基于內(nèi)存保護(hù)的漏洞利用防護(hù)產(chǎn)品核心能力之一即是防止瀏覽器0day漏洞被利用,如圖所示。
基于內(nèi)存保護(hù)的漏洞利用防護(hù)示例圖
區(qū)別于傳統(tǒng)的安全產(chǎn)品,內(nèi)存保護(hù)系統(tǒng)建立程序運(yùn)行時(shí)安全防護(hù)能力,由內(nèi)存訪問行為監(jiān)控、程序行為監(jiān)控、行為分析引擎、關(guān)聯(lián)分析模塊、響應(yīng)模塊等構(gòu)成,通過監(jiān)控程序的內(nèi)存讀、寫、執(zhí)行、屬性修改等行為,判斷程序?qū)?nèi)存的訪問行為,以及程序行為的合理性,進(jìn)而識(shí)別內(nèi)存中的異常訪問和惡意行為執(zhí)行等,并實(shí)時(shí)阻斷惡意程序運(yùn)行的一種保護(hù)產(chǎn)品。內(nèi)存保護(hù)系統(tǒng)無需頻繁升級(jí),即可實(shí)現(xiàn)對(duì)未知漏洞的檢測(cè)能力,幫助用戶在沒有打補(bǔ)丁或者無補(bǔ)丁可打的情況下,減輕遭受漏洞利用攻擊的風(fēng)險(xiǎn)。
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評(píng)估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運(yùn)維!全新FortiAIOps 3.0重新定義IT運(yùn)營(yíng)
- MirageFlow:一種針對(duì)Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢(shì)展望
- 國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《國(guó)家信息化發(fā)展報(bào)告(2024年)》
- 火狐中國(guó)終止運(yùn)營(yíng):辦公地?zé)o人,用戶賬號(hào)數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評(píng)估標(biāo)準(zhǔn)化應(yīng)用實(shí)踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時(shí)代!