近日，360威脅情報中心發(fā)布了《Quantum(量子)攻擊系統(tǒng) – 美國國家安全局“APT-C-40”黑客組織高端網(wǎng)絡攻擊武器技術分析報告》(簡稱《報告》)。該報告稱，美國國家安全局(簡稱NSA)官方機密文件《Quantum Insert Diagrams》顯示，Quantum(量子)攻擊可以劫持全世界任意地區(qū)任意網(wǎng)上用戶的正常網(wǎng)頁瀏覽流量，進行0day漏洞利用攻擊并遠程植入后門程序。

利用瀏覽器0day漏洞實施攻擊的案例

過去兩年，研究人員發(fā)現(xiàn)攻擊者利用瀏覽器0day漏洞實施攻擊的案例非常多。

2021年3月，Microsoft在其瀏覽器Internet Explorer中修復了一個與內(nèi)存破壞有關的0day安全漏洞CVE-2021-26411，攻擊者利用該漏洞可以欺騙用戶訪問一個精心設計的惡意網(wǎng)站，達到遠程執(zhí)行代碼的目的，該漏洞也曾被黑客組織用于實施APT攻擊。

2021年4月，Chrome瀏覽器連續(xù)被爆出2個遠程代碼執(zhí)行0day漏洞POC，攻擊者利用這2個漏洞可以構造一個惡意的Web頁面并誘導受害者點擊訪問，用戶訪問該頁面會觸發(fā)遠程代碼執(zhí)行。

Quantum(量子)系統(tǒng)的攻擊方式

通過分析NSA官方機密文檔《NSA Ant Product Catalog》、《NSA QUANTUM Tasking Techniques for the R&T Analyst》、《QUANTUM Shooter SBZ Notes》，安芯網(wǎng)盾安全專家發(fā)現(xiàn)Quantum(量子)系統(tǒng)的核心攻擊方式大致如下：

1. 準備階段：將攻擊平臺FoxAcid(酸狐貍，仿冒網(wǎng)站)服務器部署在互聯(lián)網(wǎng)骨干網(wǎng)中，在網(wǎng)絡傳輸線路上建立被動監(jiān)聽節(jié)點TurMoil(混亂，后門監(jiān)聽系統(tǒng))。

2. 劫持階段：在受害者訪問特定網(wǎng)站(如臉書，推特等)時，TurMoil會監(jiān)聽該網(wǎng)絡流量，通過Turbine(后門植入工具)發(fā)送Quantum(量子)注入攻擊，迫使受害者訪問FoxAcid服務器。

Quantum(量子)攻擊系統(tǒng)示例圖

3. 攻擊階段：通過FoxAcid服務器發(fā)起攻擊，利用受害者終端使用的瀏覽器0day漏洞，植入NSA專屬后門程序。

4. 駐留階段：通過植入受害者終端的NSA專屬后門程序，如VALIDATOR(驗證器)、UNITEDRAKE(聯(lián)合耙)等大量竊取受害者個人隱私和上網(wǎng)數(shù)據(jù)等內(nèi)容。

基于內(nèi)存保護的漏洞利用防護

通過上述分析可以發(fā)現(xiàn)，Quantum(量子)攻擊系統(tǒng)發(fā)起最終攻擊的主體是FoxAcid(酸狐貍)服務器，而它的攻擊方式是在受害者通過瀏覽器訪問該FoxAcid服務器時，F(xiàn)oxAcid通過瀏覽器0day漏洞向受害者終端中植入后門。

基于內(nèi)存保護的漏洞利用防護產(chǎn)品核心能力之一即是防止瀏覽器0day漏洞被利用，如圖所示。

基于內(nèi)存保護的漏洞利用防護示例圖

區(qū)別于傳統(tǒng)的安全產(chǎn)品，內(nèi)存保護系統(tǒng)建立程序運行時安全防護能力，由內(nèi)存訪問行為監(jiān)控、程序行為監(jiān)控、行為分析引擎、關聯(lián)分析模塊、響應模塊等構成，通過監(jiān)控程序的內(nèi)存讀、寫、執(zhí)行、屬性修改等行為，判斷程序對內(nèi)存的訪問行為，以及程序行為的合理性，進而識別內(nèi)存中的異常訪問和惡意行為執(zhí)行等，并實時阻斷惡意程序運行的一種保護產(chǎn)品。內(nèi)存保護系統(tǒng)無需頻繁升級，即可實現(xiàn)對未知漏洞的檢測能力，幫助用戶在沒有打補丁或者無補丁可打的情況下，減輕遭受漏洞利用攻擊的風險。