近日，360威脅情報(bào)中心發(fā)布了《Quantum(量子)攻擊系統(tǒng) – 美國(guó)國(guó)家安全局“APT-C-40”黑客組織高端網(wǎng)絡(luò)攻擊武器技術(shù)分析報(bào)告》(簡(jiǎn)稱(chēng)《報(bào)告》)。該報(bào)告稱(chēng)，美國(guó)國(guó)家安全局(簡(jiǎn)稱(chēng)NSA)官方機(jī)密文件《Quantum Insert Diagrams》顯示，Quantum(量子)攻擊可以劫持全世界任意地區(qū)任意網(wǎng)上用戶的正常網(wǎng)頁(yè)瀏覽流量，進(jìn)行0day漏洞利用攻擊并遠(yuǎn)程植入后門(mén)程序。

利用瀏覽器0day漏洞實(shí)施攻擊的案例

過(guò)去兩年，研究人員發(fā)現(xiàn)攻擊者利用瀏覽器0day漏洞實(shí)施攻擊的案例非常多。

2021年3月，Microsoft在其瀏覽器Internet Explorer中修復(fù)了一個(gè)與內(nèi)存破壞有關(guān)的0day安全漏洞CVE-2021-26411，攻擊者利用該漏洞可以欺騙用戶訪問(wèn)一個(gè)精心設(shè)計(jì)的惡意網(wǎng)站，達(dá)到遠(yuǎn)程執(zhí)行代碼的目的，該漏洞也曾被黑客組織用于實(shí)施APT攻擊。

2021年4月，Chrome瀏覽器連續(xù)被爆出2個(gè)遠(yuǎn)程代碼執(zhí)行0day漏洞POC，攻擊者利用這2個(gè)漏洞可以構(gòu)造一個(gè)惡意的Web頁(yè)面并誘導(dǎo)受害者點(diǎn)擊訪問(wèn)，用戶訪問(wèn)該頁(yè)面會(huì)觸發(fā)遠(yuǎn)程代碼執(zhí)行。

Quantum(量子)系統(tǒng)的攻擊方式

通過(guò)分析NSA官方機(jī)密文檔《NSA Ant Product Catalog》、《NSA QUANTUM Tasking Techniques for the R&T Analyst》、《QUANTUM Shooter SBZ Notes》，安芯網(wǎng)盾安全專(zhuān)家發(fā)現(xiàn)Quantum(量子)系統(tǒng)的核心攻擊方式大致如下：

1. 準(zhǔn)備階段：將攻擊平臺(tái)FoxAcid(酸狐貍，仿冒網(wǎng)站)服務(wù)器部署在互聯(lián)網(wǎng)骨干網(wǎng)中，在網(wǎng)絡(luò)傳輸線路上建立被動(dòng)監(jiān)聽(tīng)節(jié)點(diǎn)TurMoil(混亂，后門(mén)監(jiān)聽(tīng)系統(tǒng))。

2. 劫持階段：在受害者訪問(wèn)特定網(wǎng)站(如臉書(shū)，推特等)時(shí)，TurMoil會(huì)監(jiān)聽(tīng)該網(wǎng)絡(luò)流量，通過(guò)Turbine(后門(mén)植入工具)發(fā)送Quantum(量子)注入攻擊，迫使受害者訪問(wèn)FoxAcid服務(wù)器。

Quantum(量子)攻擊系統(tǒng)示例圖

3. 攻擊階段：通過(guò)FoxAcid服務(wù)器發(fā)起攻擊，利用受害者終端使用的瀏覽器0day漏洞，植入NSA專(zhuān)屬后門(mén)程序。

4. 駐留階段：通過(guò)植入受害者終端的NSA專(zhuān)屬后門(mén)程序，如VALIDATOR(驗(yàn)證器)、UNITEDRAKE(聯(lián)合耙)等大量竊取受害者個(gè)人隱私和上網(wǎng)數(shù)據(jù)等內(nèi)容。

基于內(nèi)存保護(hù)的漏洞利用防護(hù)

通過(guò)上述分析可以發(fā)現(xiàn)，Quantum(量子)攻擊系統(tǒng)發(fā)起最終攻擊的主體是FoxAcid(酸狐貍)服務(wù)器，而它的攻擊方式是在受害者通過(guò)瀏覽器訪問(wèn)該FoxAcid服務(wù)器時(shí)，F(xiàn)oxAcid通過(guò)瀏覽器0day漏洞向受害者終端中植入后門(mén)。

基于內(nèi)存保護(hù)的漏洞利用防護(hù)產(chǎn)品核心能力之一即是防止瀏覽器0day漏洞被利用，如圖所示。

基于內(nèi)存保護(hù)的漏洞利用防護(hù)示例圖

區(qū)別于傳統(tǒng)的安全產(chǎn)品，內(nèi)存保護(hù)系統(tǒng)建立程序運(yùn)行時(shí)安全防護(hù)能力，由內(nèi)存訪問(wèn)行為監(jiān)控、程序行為監(jiān)控、行為分析引擎、關(guān)聯(lián)分析模塊、響應(yīng)模塊等構(gòu)成，通過(guò)監(jiān)控程序的內(nèi)存讀、寫(xiě)、執(zhí)行、屬性修改等行為，判斷程序?qū)?nèi)存的訪問(wèn)行為，以及程序行為的合理性，進(jìn)而識(shí)別內(nèi)存中的異常訪問(wèn)和惡意行為執(zhí)行等，并實(shí)時(shí)阻斷惡意程序運(yùn)行的一種保護(hù)產(chǎn)品。內(nèi)存保護(hù)系統(tǒng)無(wú)需頻繁升級(jí)，即可實(shí)現(xiàn)對(duì)未知漏洞的檢測(cè)能力，幫助用戶在沒(méi)有打補(bǔ)丁或者無(wú)補(bǔ)丁可打的情況下，減輕遭受漏洞利用攻擊的風(fēng)險(xiǎn)。