近日,360政企安全集团率先公开披露了美国国家安全局(NSA)针对中国境内目标所使用的代表性网络武器——Quantum(量子)攻击平台。Quantum(量子)攻击平台通过其网络各主干传输线路上部署的被动监听节点,持续不断窃取信道中的网络信号数据,并部署FoxAcid(酸狐狸)服务器,为攻击做好准备工作。
1、监听阶段
NSA把FoxAcid(酸狐狸)服务器部署在互联网骨干网中,建立监听节点,全面监控攻击目标的互联网账号等相关网络通信内容和其它网络活动。
2、劫持阶段
利用网络响应速度差来实现Quantum(量子)注入攻击,劫持全球互联网上任意终端设备的正常网页浏览流量。当受害者访问特定网站时,伪造的量子注入数据包会先于正常响应被受害者接收,数据包通常进行HTTP重定向,迫使受害者访问FoxAcid服务器。
3、渗透阶段
FoxAcid服务器利用各种主流浏览器的0day漏洞对目标对象实施攻击并植入部署后门程序,如VALIDATOR(验证器)、UNITEDRAKE(联合耙)。
4、驻留阶段
受害者被植入NSA专属后门程序,大量窃取受害者个人隐私和上网数据等内容,进行持续跟踪、监控、窃取行为。
(攻击过程)
应对流程
360政企安全集团根据Quantum(量子)攻击平台攻击过程,进行了全面部署,通过云端安全大数据及时、准确、全面、归真、自动化的持续赋能,360本地安全大脑可以开启针对Quantum(量子)攻击全生命周期管理,以实现对高级威胁的识别、检测、分析、溯源、响应处置。
(应对流程)
本地安全大脑猎捕动作拆解
360全景攻防知识图谱中映射的攻击技战术链如下:
通过对攻击各阶段技术特点研究,360本地安全大脑已第一时间支持了对Quantum攻击阶段的全覆盖,实现了全方位的精准检测。分别从流量注入阶段、恶意程序部署阶段、隐私数据收集阶段、数据回传阶段助力全面拦截该高级威胁攻击。
1、流量注入阶段
360本地安全大脑依托网络安全产品的网络行为日志,提取网络数据流量特征建立检测模型,实现对量子注入攻击网络层面的检测支持。
2、恶意程序部署阶段
360本地安全大脑依托终端安全产品的行为审计日志开发了检测已知/未知浏览器漏洞利用的规则模型,能够第一时间检测利用浏览器漏洞进行下载、执行恶意程序的行为。
3、隐私数据收集阶段
NSA后门程序会窃取用户浏览器隐私数据,包含凭据、浏览器历史、上网数据等信息。360本地安全大脑的检测模型可以基于终端安全产品日志检测此类行为。
4、数据回传阶段
NSA后门程序获取到用户隐私数据后,对外进行数据回传;基于360云端持续赋能的威胁情报检测引擎,可以精准识别出与远端的通信流量,遏制攻击危害持续产生。
360本地安全大脑智能防御效能评估(AES)组件可以重放量子注入攻击,评估各类安全设备是否可以防护。
处置建议
1. 对受害者主机进行隔离,并安排全盘病毒扫描。
2. 对于劫持阶段攻击,提取量子注入数据包中FoxAcid服务器地址,对该地址进行封禁。
3. 对于驻留阶段,提取其数据回传远端地址,对该地址进行封禁。
360本地安全大脑自动化响应预案(SOAR)功能模块,可对攻击进行自动化处置,第一时间遏制进一步的攻击威胁。
(Figure1 SOAR实现对主机的隔离)
360本地安全大脑是360基于云计算、大数据、人工智能等新一代信息技术,将360云端安全大脑核心能力本地化部署的一套统一安全平台。针对此次攻击,360本地安全大脑第一时间发布安全更新,建立关联分析规则对攻击产生的数据做针对性分析,实现对该攻击的主动检测,用户只需升级到最新的安全规则包,即可获得相应的检测、防护能力。
未来,360本地安全大脑将在云端安全大脑的持续赋能下,不断提升全生命周期管理水平,助力政企客户实现对攻击行为的分析、溯源和响应处置,为其数字化转型贡献力量。