來自Fox-IT的安全專家已經(jīng)開發(fā)出一種可檢測(cè)NSA Quantum注入攻擊的方法，并寫出一份有趣的報(bào)告，將之公之于眾。

Quantum注入剖析

Quantum注入攻擊是一種“情報(bào)竊取”技術(shù)，最初由斯諾登披露的文檔曝光。

這種技術(shù)典型攻擊方案就是“HTML重定向”攻擊，說簡(jiǎn)單點(diǎn)就是往受害者流量里注入惡意內(nèi)容。攻擊者在受害者的TCP會(huì)話注入了惡意代碼，比如可持續(xù)追蹤的cookie，就可以精確監(jiān)控這個(gè)受害者。一旦確定某段session是歸屬于受害者后，攻擊工具組件便會(huì)迅速將惡意代碼注入含這段session的數(shù)據(jù)流，最后黑掉受害者。

Quantum在攻擊時(shí)會(huì)將惡意代碼注入到受害者特定的TCP會(huì)話中，該會(huì)話是基于選擇器(selectors)進(jìn)行注入的，比如前面提到的可持續(xù)追蹤cookie的技術(shù)。

在報(bào)告中提到：

“該注入得通過監(jiān)控網(wǎng)絡(luò)流量，并且截獲HTTP請(qǐng)求做大量分析，最后才能實(shí)現(xiàn)的。當(dāng)攻擊者需要監(jiān)控某個(gè)目標(biāo)時(shí)，攻擊設(shè)備將發(fā)送偽造的TCP數(shù)據(jù)包。為了將特制的偽造數(shù)據(jù)包注入到某個(gè)會(huì)話里，攻擊者需要事先了解該會(huì)話的內(nèi)容。”

攻擊原理

攻擊設(shè)備會(huì)分析每個(gè)TCP包里的HTTP請(qǐng)求中的信息，然后對(duì)這些TCP包進(jìn)行更改，所需要的信息有：

源/目的IP地址

源/目的端口

序列號(hào)/確認(rèn)號(hào)

只有當(dāng)合法WEB服務(wù)器響應(yīng)之前，數(shù)據(jù)包被搶先成功注入到目標(biāo)中，Quantum注入攻擊才算成功。也就是說，攻擊者可以扮演中間人，冒充WEB服務(wù)器的角色，從而黑掉目標(biāo)。

檢測(cè)工具問世

專家小組發(fā)布了一套免費(fèi)的開源工具，它可以根據(jù)數(shù)據(jù)大小的不同，檢測(cè)HTTP數(shù)據(jù)包的重復(fù)序列，從而可以查出是否存在Quantum注入攻擊。

Fox-IT表示：“如果我們檢測(cè)到不同payload的重復(fù)TCP數(shù)據(jù)包，或者是檢測(cè)TCP數(shù)據(jù)流里含有異常數(shù)據(jù)時(shí)，我們就可以查找出Quantum注入攻擊的痕跡。”

根據(jù)每個(gè)實(shí)體發(fā)出的Quantum注入攻擊，可以捕獲并操作受害者的流量，斯諾登曾經(jīng)披露過一些情報(bào)機(jī)構(gòu)(如英國(guó)的GCHQ)采用了該技術(shù)。

最近CitizenLab也揭秘了一個(gè)相類似的攻擊平臺(tái)——超級(jí)加農(nóng)炮。

安全建議

HTTPS和HSTS的使用可以減少Q(mào)uantum注入攻擊的危害，CDN也是個(gè)提升實(shí)施Quantum注入攻擊難度的法子。

Fox-IT已經(jīng)創(chuàng)建了不少數(shù)據(jù)包捕獲檢測(cè)的工具，以此來檢測(cè)Quantum注入攻擊，GitHub上也已提供相應(yīng)的代碼。