警惕Quantum（量子）0day漏洞攻擊

近日，360威脅情報中心發布了《Quantum（量子）攻擊系統 – 美國國家安全局“APT-C-40”黑客組織高端網絡攻擊武器技術分析報告》（簡稱《報告》）。該報告稱，美國國家安全局（簡稱NSA）官方機密文件《Quantum Insert Diagrams》顯示，Quantum（量子）攻擊可以劫持全世界任意地區任意網上用戶的正常網頁瀏覽流量，進行0day漏洞利用攻擊并遠程植入后門程序。

利用瀏覽器0day漏洞實施攻擊的案例

過去兩年，研究人員發現攻擊者利用瀏覽器0day漏洞實施攻擊的案例非常多。

2021年3月，Microsoft在其瀏覽器Internet Explorer中修復了一個與內存破壞有關的0day安全漏洞CVE-2021-26411，攻擊者利用該漏洞可以欺騙用戶訪問一個精心設計的惡意網站，達到遠程執行代碼的目的，該漏洞也曾被黑客組織用于實施APT攻擊。

2021年4月，Chrome瀏覽器連續被爆出2個遠程代碼執行0day漏洞POC，攻擊者利用這2個漏洞可以構造一個惡意的Web頁面并誘導受害者點擊訪問，用戶訪問該頁面會觸發遠程代碼執行。

Quantum（量子）系統的攻擊方式

通過分析NSA官方機密文檔《NSA Ant Product Catalog》、《NSA QUANTUM Tasking Techniques for the R&T Analyst》、《QUANTUM Shooter SBZ Notes》，安芯網盾安全專家發現Quantum（量子）系統的核心攻擊方式大致如下：

1. 準備階段：將攻擊平臺FoxAcid（酸狐貍，仿冒網站）服務器部署在互聯網骨干網中，在網絡傳輸線路上建立被動監聽節點TurMoil（混亂，后門監聽系統）。 

2. 劫持階段：在受害者訪問特定網站（如臉書，推特等）時，TurMoil會監聽該網絡流量，通過Turbine（后門植入工具）發送Quantum（量子）注入攻擊，迫使受害者訪問FoxAcid服務器。 

Quantum（量子）攻擊系統示例圖

3. 攻擊階段：通過FoxAcid服務器發起攻擊，利用受害者終端使用的瀏覽器0day漏洞，植入NSA專屬后門程序。

4. 駐留階段：通過植入受害者終端的NSA專屬后門程序，如VALIDATOR（驗證器）、UNITEDRAKE(聯合耙)等大量竊取受害者個人隱私和上網數據等內容。 

基于內存保護的漏洞利用防護

通過上述分析可以發現，Quantum（量子）攻擊系統發起最終攻擊的主體是FoxAcid（酸狐貍）服務器，而它的攻擊方式是在受害者通過瀏覽器訪問該FoxAcid服務器時，FoxAcid通過瀏覽器0day漏洞向受害者終端中植入后門。

基于內存保護的漏洞利用防護產品核心能力之一即是防止瀏覽器0day漏洞被利用，如圖所示。

基于內存保護的漏洞利用防護示例圖

區別于傳統的安全產品，內存保護系統建立程序運行時安全防護能力，由內存訪問行為監控、程序行為監控、行為分析引擎、關聯分析模塊、響應模塊等構成，通過監控程序的內存讀、寫、執行、屬性修改等行為，判斷程序對內存的訪問行為，以及程序行為的合理性，進而識別內存中的異常訪問和惡意行為執行等，并實時阻斷惡意程序運行的一種保護產品。內存保護系統無需頻繁升級，即可實現對未知漏洞的檢測能力，幫助用戶在沒有打補丁或者無補丁可打的情況下，減輕遭受漏洞利用攻擊的風險。