近日,360政企安全集團率先公開披露了美國國家安全局(NSA)針對中國境內目標所使用的代表性網絡武器——Quantum(量子)攻擊平臺。該平臺中的Quantum(量子)注入攻擊是NSA針對國家級互聯網專門設計的一種先進的網絡流量劫持攻擊技術,主要針對國家級網絡通信進行中間劫持,以實施漏洞利用、通信操控、情報竊取等一系列復雜網絡攻擊,直接威脅我國政府、醫療機構、科研機構、教育機構和龍頭企業等重要行業及單位的數字安全。

Quantum(量子)注入攻擊按照攻擊特點可以歸類定義為MotS(Man on the Side)旁路型中間人攻擊。在真實的攻擊實例中,量子注入攻擊的實施方式異常復雜,既可以針對定向服務端進行中間人劫持訪問攻擊,也可以通過目標臨近的網絡節點實施針對定向目標訪問發起流量劫持和入侵植入。安全人員難以準確定位網絡鏈路中的哪一跳節點具體實施了量子注入攻擊,也極難捕獲完整的量子注入攻擊過程。

360政企安全集團第一時間開啟了全面的“狙擊戰”,基于360高級持續性威脅預警系統(簡稱:360NDR)實現對此攻擊的威脅檢測支持。針對量子攻擊的中間人劫持攻擊場景的全階段及各階段所表現出的特定行為特點,360NDR均具備檢測能力。

1)在注入攻擊階段,對注入攻擊流量中攜帶有不同負載的重復TCP報文,基于負載大小、報文時序、負載內容特征等維度構建異常檢測模型,實現全面覆蓋量子攻擊的威脅檢測。

檢出NSA量子攻擊圖

量子攻擊告警詳情圖

2)在針對瀏覽器或其他應用的漏洞利用代碼投遞階段,基于虛擬化沙箱、AI檢測模型實現對未知漏洞的檢測。

檢出NSA量子攻擊圖

3)在APT攻擊的通信階段,基于360云端安全大腦持續賦能的威脅情報檢測引擎,可以精準識別出NSA量子攻擊行為,遏制攻擊危害持續產生。

檢出NSA量子攻擊圖

類似Quantum(量子)攻擊這種由國家或經濟利益體驅動的專業攻擊團隊發起,長期實施、空前復雜且多方位的APT高級持續性威脅(Advanced Persistent Threat),已經成為當下網絡空間內國與國對抗的最重要手段之一,更是網絡戰的基礎攻擊手段之一。

360NDR是360自主研發的、通過流量分析結合全球威脅情報、行為分析、機器學習、虛擬執行、關聯分析等新一代安全技術對各類型網絡攻擊行為(尤其是新型/未知威脅行為、APT組織活躍行為)進行深度檢測和分析的抗APT類產品。針對APT攻擊難以發現、隱蔽性強等特點,產品采用“最大化檢測”、“針對性分析”、“場景化關聯”結合的理念,綜合采用8種檢測引擎最大化發現APT攻擊線索,利用上下文流量關系分析判斷攻擊結果,以特定APT組織活動情報為基礎進行“針對性”分析,通過攻擊場景的內在關聯分析出APT的全鏈過程。產品具備以下關鍵能力:

云端持續化賦能

360云端安全大腦提供的安全大數據、威脅情報和專家服務持續支撐360NDR系統對APT威脅檢測分析與溯源。作為數字安全的領導者,360政企安全集團擁有超2EB的安全大數據、全球獨有的實戰攻防樣本庫、300億樣本文件數,通過攻防情報數據、特征數據、樣本數據和攻防全景知識庫等對360NDR實時聯動賦能,從而全面實現對APT攻擊組織的追蹤溯源,可覆蓋千級惡意家族和攻擊團伙。

高級攻擊方式的針對性分析

APT攻擊為了躲避檢測,通常會采用相對“高級”的攻擊手法,比如免殺木馬、無文件木馬、沙箱逃逸、0Day溢出等對抗檢測系統,這些手法本身“暗示”著APT攻擊行為。360NDR針對這類高級攻擊手法進行針對性加強檢測和分析,比如針對沙箱逃逸的木馬,研究了130+反逃逸對抗點,提升針對高級木馬的檢出率同時識別出高級的攻擊行為。

結合多種新老技術手段,擴充發現的邊界

單一的檢測技術極可能漏報,尤其是APT攻擊中的高級手段,因此360NDR的設計中采用了特征檢測、威脅情報、行為檢測、AI檢測等新老技術結合思路,其中特征檢測、威脅情報主要針對已知攻擊,比如公開的漏洞利用、API攻擊組織;行為檢測和AI檢測技術主要用于未知攻擊,比如免殺木馬、新的C2地址等。

KillChain和ATT&CK技戰術的體系化覆蓋

360NDR研究團隊綜合研究公開的APT報告和常見攻擊手法,將網絡攻擊者的攻擊技術點細分到KillChain模型的各個階段、對應到ATT&CK模型的細分技戰術,確定基于流量可檢測分析覆蓋的每個攻擊技術點,最大化檢測攻擊的每個過程。

基于已知APT組織情報的行為跟蹤分析

360NDR集成了360自身跟蹤發現的47個APT組織情報和業界已經公開的所有APT組織威脅情報。這些情報應用即用于檢測已被APT組織非法控制的資產,也用于檢測傳播各類的惡意文件,通過“已知”推導“未知”,檢測相同APT組織的不同惡意代碼。

目前,360NDR已集成了全面的APT組織網絡武器檢測及分析能力,并大量服務于政府、金融、能源、電力、科研、監管等重要行業用戶。為避免政企用戶遭受Q uantum(量子)攻擊等APT安全威脅,請通過撥打電話:400-0309-360,盡快部署360NDR系統。未來,360NDR也將在360云端安全大腦的持續賦能下,不斷完善攻防實戰對抗和自動化、智能化能力,為政企用戶的數字化轉型夯實安全基座。