近日,360政企安全集团率先公开披露了美国国家安全局(NSA)针对中国境内目标所使用的代表性网络武器——Quantum(量子)攻击平台。据NSA官方机密文档《Quantum Insert Diagrams》内容显示,Quantum(量子)攻击可以劫持全世界任意地区任意网上用户的正常网页浏览流量,进行0day(零日)漏洞利用攻击并远程植入后门程序,以实施漏洞利用、通信操控、情报窃取等一系列复杂网络攻击,直接威胁广大政企用户的数字安全。
360安全专家对量子攻击平台的主要攻击过程进行了相关分析
1、监听
NSA把FoxAcid(酸狐狸)服务器部署在互联网骨干网中,建立监听节点,全面监控攻击目标的互联网账号等相关网络通信内容和其它网络活动。
2、劫持
网络攻击受害者在访问特定网站时,在真实网站服务器响应之前接收到NSA量子攻击劫持后的假冒服务器响应,迫使受害者重定向访问NSA的FoxAcid仿冒网站或网页资源。
3、渗透
FoxAcid(酸狐狸)利用各种主流浏览器和Flash等应用程序的 0day漏洞对目标对象实施攻击,再向其上网终端中植入初始后门程序。
4、驻留
以VALIDATOR(验证器)、UNITEDRAKE(联合耙)为代表的NSA专属后门程序,长期潜伏在目标用户上网终端中,大量窃取受害者个人隐私和上网数据等内容,通过这些后门程序发起更多复杂的网络攻击渗透。
我们注意到,终端作为Quantum(量子)攻击的重要跳板和载体,基于360安全大脑实时赋能的360终端安全管理系统,已经在第一时间提供在终端层面的高级防护支持。
Quantum(量子)攻击-360终端安全管理系统解决方案
1、浏览器0day漏洞利用攻击防护
0day漏洞利用是常见的APT攻击方式。我们看到,QUANTUM(量子)攻击系统使用的FoxAcid(酸狐狸)攻击武器,利用各种主流浏览器和Flash等应用程序的 0day漏洞对目标对象实施攻击,传统基于已有经验或者已知特征进行被动式防御的安全软件,面对此类0day漏洞攻击往往失效。
360终端安全管理系统利用基于实战的云主防体系赋能,对浏览器及插件异常进程行为、堆栈模块异常调用进行内存级的全面监控,提供基于网络层的实时拦截能力,实时捕获通过FoxAcid(酸狐狸)发送的各类浏览器0day(零日)漏洞,有效阻止针对浏览器的0day漏洞利用攻击的发生。此外,360终端安全管理系统,还能对流入本机的网络数据包和行为进行检测,根据策略在网络层拦截漏洞攻击,防御外部黑客入侵。
2、恶意样本下载拦截
基于17年网络实战攻防经验积累,360目前拥有超过300亿的各类恶意程序样本,在安全大数据能力加持下,360终端安全管理系统能实时在云端动态鉴定识别木马病毒的行为、计算行为的特征,再结合木马病毒的特点,对通过下载软件、浏览器下载的文件进行安全检测,防止从网络应用下载恶意程序,对VALIDATOR(验证器)、UNITEDRAKE(联合耙)为代表的NSA专属后门程序实现精准识别,对发现的风险进行提示和拦截。
3、终端恶意行为检测
Quantum(量子)攻击系统在入侵目标终端后,会进行一系列精密复杂的网络渗透攻击,收集用户浏览器、邮件、办公和私人文档、数据库、摄像头实时数据等个人隐私数据,最终完成情报收集任务。
360终端安全管理系统,集成360终端安全检测与响应EDR模块,接收360云端安全大脑赋能,基于积累十几年的全网SaaS化EDR系统捕获的高精度数据,同时依靠多维度高质量的威胁情报、多维度全景安全知识库,聚焦终端异常行为事件,以ATT&CK技战术视角实现归因分析和精确溯源,能够对Quantum(量子)攻击系统在目标终端的攻击指标进行全面侦测,通过持续监测终端异常活动行为、检测安全风险、深度调查威胁事件、提供补救响应等手段,主动发现高级持续攻击行为,补充了传统终端安全产品防御高级威胁能力的不足,降低Quantum(量子)攻击系统最终达到目的可能性,实现高效防御效果。
终端是网络攻防的主战场,在应对包括Quantum(量子)攻击在内的APT攻击过程中,客观上要求终端自身必须具备实战化高级对抗能力。360终端安全管理系统,是360历经十余年与各种木马、APT家族的攻防实战打磨出来的面向实战的终端安全产品,是对抗包括Quantum(量子)攻击在内APT攻击的防护利器。
一直以来,360在终端安全领域持续耕耘,深刻了解终端攻防态势的演进过程,以及深刻理解终端在防御APT攻击过程中的重要性。在360云端安全大脑的持续赋能之下,360终端安全管理系统将不断持续升级针对APT攻击的检测与对抗能力,为广大政企用户、关键基础设施用户的数字化转型提供有力支撑。