近日,360政企安全集团率先公开披露了美国国家安全局(NSA)针对中国境内目标所使用的代表性网络武器——Quantum(量子)攻击平台。Quantum(量子)攻击平台通过其网络各主干传输线路上部署的被动监听节点,持续不断窃取信道中的网络信号数据,并部署FoxAcid(酸狐狸)服务器,为攻击做好准备工作。其核心攻击过程如下:
1、劫持阶段:利用网络响应速度差来实现Quantum(量子)注入攻击,劫持全球互联网上任意终端设备的正常网页浏览流量。当受害者访问特定网站时,伪造的量子注入数据包会先于正常响应被受害者接收,数据包通常进行HTTP重定向,迫使受害者访问FoxAcid服务器。
2、部署阶段: FoxAcid服务器利用各种主流浏览器的0day漏洞对目标对象实施攻击并植入部署后门程序,如VALIDATOR(验证器)、UNITEDRAKE(联合耙)。
3、驻留阶段:受害者被植入NSA专属后门程序,大量窃取受害者个人隐私和上网数据等内容,进行持续跟踪、监控、窃取行为。
攻击过程
360政企安全集团根据Quantum(量子)攻击平台攻击过程,进行了全面部署,通过云端安全大数据及时、准确、全面、归真、自动化的持续赋能,360本地安全大脑可以开启针对Quantum(量子)攻击全生命周期管理,以实现对高级威胁的识别、检测、分析、溯源、响应处置。
应对流程
本地安全大脑猎捕动作拆解:
360全景攻防知识图谱中映射的攻击技战术链如下:
通过对攻击各阶段技术特点研究,360本地安全大脑已第一时间支持了对Quantum攻击阶段的全覆盖,实现了全方位的精准检测。分别从流量注入阶段、恶意程序部署阶段、隐私数据收集阶段、数据回传阶段助力全面拦截该高级威胁攻击。
1、 流量注入阶段。360本地安全大脑依托网络安全产品的网络行为日志,提取网络数据流量特征建立检测模型,实现对量子注入攻击网络层面的检测支持。
2、 恶意程序部署阶段。360本地安全大脑依托终端安全产品的行为审计日志开发了检测已知/未知浏览器漏洞利用的规则模型,能够第一时间检测利用浏览器漏洞进行下载、执行恶意程序的行为。
3.恶意程序部署阶段。360本地安全大脑依托终端安全产品的行为审计日志开发了检测已知/未知浏览器漏洞利用的规则模型,能够第一时间检测利用浏览器漏洞进行下载、执行恶意程序的行为。
4、 数据回传阶段。NSA后门程序获取到用户隐私数据后,对外进行数据回传;基于360云端持续赋能的威胁情报检测引擎,可以精准识别出与远端的通信流量,遏制攻击危害持续产生。
360本地安全大脑智能防御效能评估(AES)组件可以重放量子注入攻击,评估各类安全设备是否可以防护。
处置建议
1、 对受害者主机进行隔离,并安排全盘病毒扫描。
2、 对于劫持阶段攻击,提取量子注入数据包中FoxAcid服务器地址,对该地址进行封禁。
3、 对于驻留阶段,提取其数据回传远端地址,对该地址进行封禁。
360本地安全大脑自动化响应预案(SOAR)功能模块,可对攻击进行自动化处置,第一时间遏制进一步的攻击威胁。
Figure 1 SOAR实现对主机的隔离
360本地安全大脑是360基于云计算、大数据、人工智能等新一代信息技术,将360云端安全大脑核心能力本地化部署的一套统一安全平台。针对此次攻击,360本地安全大脑第一时间发布安全更新,建立关联分析规则对攻击产生的数据做针对性分析,实现对该攻击的主动检测,用户只需升级到最新的安全规则包,即可获得相应的检测、防护能力。
未来,360本地安全大脑将在云端安全大脑的持续赋能下,不断提升全生命周期管理水平,助力政企客户实现对攻击行为的分析、溯源和响应处置,为其数字化转型贡献力量。