近日，360威脅情報中心發(fā)布了《Quantum(量子)攻擊系統(tǒng) – 美國國家安全局“APT-C-40”黑客組織高端網(wǎng)絡(luò)攻擊武器技術(shù)分析報告》(簡稱《報告》)。該報告稱，美國國家安全局(簡稱NSA)官方機(jī)密文件《Quantum Insert Diagrams》顯示，Quantum(量子)攻擊可以劫持全世界任意地區(qū)任意網(wǎng)上用戶的正常網(wǎng)頁瀏覽流量，進(jìn)行0day漏洞利用攻擊并遠(yuǎn)程植入后門程序。

利用瀏覽器0day漏洞實(shí)施攻擊的案例

過去兩年，研究人員發(fā)現(xiàn)攻擊者利用瀏覽器0day漏洞實(shí)施攻擊的案例非常多。

2021年3月，Microsoft在其瀏覽器Internet Explorer中修復(fù)了一個與內(nèi)存破壞有關(guān)的0day安全漏洞CVE-2021-26411，攻擊者利用該漏洞可以欺騙用戶訪問一個精心設(shè)計的惡意網(wǎng)站，達(dá)到遠(yuǎn)程執(zhí)行代碼的目的，該漏洞也曾被黑客組織用于實(shí)施APT攻擊。

2021年4月，Chrome瀏覽器連續(xù)被爆出2個遠(yuǎn)程代碼執(zhí)行0day漏洞POC，攻擊者利用這2個漏洞可以構(gòu)造一個惡意的Web頁面并誘導(dǎo)受害者點(diǎn)擊訪問，用戶訪問該頁面會觸發(fā)遠(yuǎn)程代碼執(zhí)行。

Quantum(量子)系統(tǒng)的攻擊方式

通過分析NSA官方機(jī)密文檔《NSA Ant Product Catalog》、《NSA QUANTUM Tasking Techniques for the R&T Analyst》、《QUANTUM Shooter SBZ Notes》，安芯網(wǎng)盾安全專家發(fā)現(xiàn)Quantum(量子)系統(tǒng)的核心攻擊方式大致如下：

1. 準(zhǔn)備階段：將攻擊平臺FoxAcid(酸狐貍，仿冒網(wǎng)站)服務(wù)器部署在互聯(lián)網(wǎng)骨干網(wǎng)中，在網(wǎng)絡(luò)傳輸線路上建立被動監(jiān)聽節(jié)點(diǎn)TurMoil(混亂，后門監(jiān)聽系統(tǒng))。

2. 劫持階段：在受害者訪問特定網(wǎng)站(如臉書，推特等)時，TurMoil會監(jiān)聽該網(wǎng)絡(luò)流量，通過Turbine(后門植入工具)發(fā)送Quantum(量子)注入攻擊，迫使受害者訪問FoxAcid服務(wù)器。

Quantum(量子)攻擊系統(tǒng)示例圖

3. 攻擊階段：通過FoxAcid服務(wù)器發(fā)起攻擊，利用受害者終端使用的瀏覽器0day漏洞，植入NSA專屬后門程序。

4. 駐留階段：通過植入受害者終端的NSA專屬后門程序，如VALIDATOR(驗(yàn)證器)、UNITEDRAKE(聯(lián)合耙)等大量竊取受害者個人隱私和上網(wǎng)數(shù)據(jù)等內(nèi)容。

基于內(nèi)存保護(hù)的漏洞利用防護(hù)

通過上述分析可以發(fā)現(xiàn)，Quantum(量子)攻擊系統(tǒng)發(fā)起最終攻擊的主體是FoxAcid(酸狐貍)服務(wù)器，而它的攻擊方式是在受害者通過瀏覽器訪問該FoxAcid服務(wù)器時，F(xiàn)oxAcid通過瀏覽器0day漏洞向受害者終端中植入后門。

基于內(nèi)存保護(hù)的漏洞利用防護(hù)產(chǎn)品核心能力之一即是防止瀏覽器0day漏洞被利用，如圖所示。

基于內(nèi)存保護(hù)的漏洞利用防護(hù)示例圖

區(qū)別于傳統(tǒng)的安全產(chǎn)品，內(nèi)存保護(hù)系統(tǒng)建立程序運(yùn)行時安全防護(hù)能力，由內(nèi)存訪問行為監(jiān)控、程序行為監(jiān)控、行為分析引擎、關(guān)聯(lián)分析模塊、響應(yīng)模塊等構(gòu)成，通過監(jiān)控程序的內(nèi)存讀、寫、執(zhí)行、屬性修改等行為，判斷程序?qū)?nèi)存的訪問行為，以及程序行為的合理性，進(jìn)而識別內(nèi)存中的異常訪問和惡意行為執(zhí)行等，并實(shí)時阻斷惡意程序運(yùn)行的一種保護(hù)產(chǎn)品。內(nèi)存保護(hù)系統(tǒng)無需頻繁升級，即可實(shí)現(xiàn)對未知漏洞的檢測能力，幫助用戶在沒有打補(bǔ)丁或者無補(bǔ)丁可打的情況下，減輕遭受漏洞利用攻擊的風(fēng)險。