近日,360威胁情报中心发布了《Quantum(量子)攻击系统 – 美国国家安全局“APT-C-40”黑客组织高端网络攻击武器技术分析报告》(简称《报告》)。该报告称,美国国家安全局(简称NSA)官方机密文件《Quantum Insert Diagrams》显示,Quantum(量子)攻击可以劫持全世界任意地区任意网上用户的正常网页浏览流量,进行0day漏洞利用攻击并远程植入后门程序。
利用浏览器0day漏洞实施攻击的案例
过去两年,研究人员发现攻击者利用浏览器0day漏洞实施攻击的案例非常多。
2021年3月,Microsoft在其浏览器InterNet Explorer中修复了一个与内存破坏有关的0day安全漏洞CVE-2021-26411,攻击者利用该漏洞可以欺骗用户访问一个精心设计的恶意网站,达到远程执行代码的目的,该漏洞也曾被黑客组织用于实施APT攻击。
2021年4月,Chrome浏览器连续被爆出2个远程代码执行0day漏洞POC,攻击者利用这2个漏洞可以构造一个恶意的Web页面并诱导受害者点击访问,用户访问该页面会触发远程代码执行。
Quantum(量子)系统的攻击方式
通过分析NSA官方机密文档《NSA Ant Product Catalog》、《NSA QUANTUM Tasking Techniques for The R&T Analyst》、《QUANTUM Shooter SBZ Notes》,安芯网盾安全专家发现Quantum(量子)系统的核心攻击方式大致如下:
1. 准备阶段:将攻击平台FoxAcid(酸狐狸,仿冒网站) 服务器 部署在互联网骨干网中,在网络传输线路上建立被动监听节点TurMoil(混乱,后门监听系统)。
2. 劫持阶段:在受害者访问特定网站(如脸书,推特等)时,TurMoil会监听该网络流量,通过Turbine(后门植入工具)发送Quantum(量子)注入攻击,迫使受害者访问FoxAcid服务器。
Quantum(量子)攻击系统示例图
3. 攻击阶段:通过FoxAcid服务器发起攻击,利用受害者终端使用的浏览器0day漏洞,植入NSA专属后门程序。
4. 驻留阶段:通过植入受害者终端的NSA专属后门程序,如VALIDATOR(验证器)、UNITEDRAKE(联合耙)等大量窃取受害者个人隐私和上网数据等内容。
基于内存保护的漏洞利用防护
通过上述分析可以发现,Quantum(量子)攻击系统发起最终攻击的主体是FoxAcid(酸狐狸)服务器,而它的攻击方式是在受害者通过浏览器访问该FoxAcid服务器时,FoxAcid通过浏览器0day漏洞向受害者终端中植入后门。
基于内存保护的漏洞利用防护产品核心能力之一即是防止浏览器0day漏洞被利用,如图所示。
基于内存保护的漏洞利用防护示例图
区别于传统的安全产品,内存保护系统建立程序运行时安全防护能力,由内存访问行为监控、程序行为监控、行为分析引擎、关联分析模块、响应模块等构成,通过监控程序的内存读、写、执行、属性修改等行为,判断程序对内存的访问行为,以及程序行为的合理性,进而识别内存中的异常访问和恶意行为执行等,并实时阻断恶意程序运行的一种保护产品。内存保护系统无需频繁升级,即可实现对未知漏洞的检测能力,帮助用户在没有打补丁或者无补丁可打的情况下,减轻遭受漏洞利用攻击的风险。
一个木马在电脑C盘 扫不出怎么办?
如果你知道哪个是被木马感染的文件,直接找到它,删除就可以了.如果系统不能正常运行了,就在别的电脑上把那个文件重新拷一下.
IE7有什么漏洞
12月9日,有网友在访问某网站时IE出现“假死”问题。 经过金山毒霸反病毒专家分析,发现该网站被挂马,而除了flash漏洞、realplay漏洞之外发现一段未知的恶意脚本。 经过反病毒专家进一步分析,确认这是微软IE7的0day漏洞。 而且目前已经已经发现“IE7 0day漏洞生成工具”,而且已经截获两个利用该漏洞的恶意挂马网站。 目前挂马的网站都是通过这一类型的工具自动生成的,可以预料这个漏洞攻击将会马上流行起来。 反病毒专家表示,该0day漏洞将影响windows xp/sp2/sp3 IE7以及windows2003 IE7等,而vista系统尚未验证。 该漏洞目前未有公开资料及补丁,已经确认为0Day漏洞。 也就是说,即使用户打上所有补丁,都有可能在上网时不知不觉中毒。
怎么通过80端口入侵?????
80端口可以有多种入侵的方法1、SQL注射漏洞2、上传漏洞3、文件包含漏洞4、社会工程学5、数据库下载漏洞6、列目录漏洞7、0DAY8、旁注
发表评论