近日,360政企安全集團(tuán)率先公開披露了美國國家安全局(NSA)針對(duì)中國境內(nèi)目標(biāo)所使用的代表性網(wǎng)絡(luò)武器——Quantum(量子)攻擊平臺(tái)。該平臺(tái)中的Quantum(量子)注入攻擊是NSA針對(duì)國家級(jí)互聯(lián)網(wǎng)專門設(shè)計(jì)的一種先進(jìn)的網(wǎng)絡(luò)流量劫持攻擊技術(shù),主要針對(duì)國家級(jí)網(wǎng)絡(luò)通信進(jìn)行中間劫持,以實(shí)施漏洞利用、通信操控、情報(bào)竊取等一系列復(fù)雜網(wǎng)絡(luò)攻擊,直接威脅我國政府、醫(yī)療機(jī)構(gòu)、科研機(jī)構(gòu)、教育機(jī)構(gòu)和龍頭企業(yè)等重要行業(yè)及單位的數(shù)字安全。
Quantum(量子)注入攻擊按照攻擊特點(diǎn)可以歸類定義為MotS(Man on the Side)旁路型中間人攻擊。在真實(shí)的攻擊實(shí)例中,量子注入攻擊的實(shí)施方式異常復(fù)雜,既可以針對(duì)定向服務(wù)端進(jìn)行中間人劫持訪問攻擊,也可以通過目標(biāo)臨近的網(wǎng)絡(luò)節(jié)點(diǎn)實(shí)施針對(duì)定向目標(biāo)訪問發(fā)起流量劫持和入侵植入。安全人員難以準(zhǔn)確定位網(wǎng)絡(luò)鏈路中的哪一跳節(jié)點(diǎn)具體實(shí)施了量子注入攻擊,也極難捕獲完整的量子注入攻擊過程。
360政企安全集團(tuán)第一時(shí)間開啟了全面的“狙擊戰(zhàn)”,基于360高級(jí)持續(xù)性威脅預(yù)警系統(tǒng)(簡稱:360NDR)實(shí)現(xiàn)對(duì)此攻擊的威脅檢測(cè)支持。針對(duì)量子攻擊的中間人劫持攻擊場(chǎng)景的全階段及各階段所表現(xiàn)出的特定行為特點(diǎn),360NDR均具備檢測(cè)能力。
1)在注入攻擊階段,對(duì)注入攻擊流量中攜帶有不同負(fù)載的重復(fù)TCP報(bào)文,基于負(fù)載大小、報(bào)文時(shí)序、負(fù)載內(nèi)容特征等維度構(gòu)建異常檢測(cè)模型,實(shí)現(xiàn)全面覆蓋量子攻擊的威脅檢測(cè)。
檢出NSA量子攻擊圖
量子攻擊告警詳情圖
2)在針對(duì)瀏覽器或其他應(yīng)用的漏洞利用代碼投遞階段,基于虛擬化沙箱、AI檢測(cè)模型實(shí)現(xiàn)對(duì)未知漏洞的檢測(cè)。
檢出NSA量子攻擊圖
3)在APT攻擊的通信階段,基于360云端安全大腦持續(xù)賦能的威脅情報(bào)檢測(cè)引擎,可以精準(zhǔn)識(shí)別出NSA量子攻擊行為,遏制攻擊危害持續(xù)產(chǎn)生。
檢出NSA量子攻擊圖
類似Quantum(量子)攻擊這種由國家或經(jīng)濟(jì)利益體驅(qū)動(dòng)的專業(yè)攻擊團(tuán)隊(duì)發(fā)起,長期實(shí)施、空前復(fù)雜且多方位的APT高級(jí)持續(xù)性威脅(Advanced Persistent Threat),已經(jīng)成為當(dāng)下網(wǎng)絡(luò)空間內(nèi)國與國對(duì)抗的最重要手段之一,更是網(wǎng)絡(luò)戰(zhàn)的基礎(chǔ)攻擊手段之一。
360NDR是360自主研發(fā)的、通過流量分析結(jié)合全球威脅情報(bào)、行為分析、機(jī)器學(xué)習(xí)、虛擬執(zhí)行、關(guān)聯(lián)分析等新一代安全技術(shù)對(duì)各類型網(wǎng)絡(luò)攻擊行為(尤其是新型/未知威脅行為、APT組織活躍行為)進(jìn)行深度檢測(cè)和分析的抗APT類產(chǎn)品。針對(duì)APT攻擊難以發(fā)現(xiàn)、隱蔽性強(qiáng)等特點(diǎn),產(chǎn)品采用“最大化檢測(cè)”、“針對(duì)性分析”、“場(chǎng)景化關(guān)聯(lián)”結(jié)合的理念,綜合采用8種檢測(cè)引擎最大化發(fā)現(xiàn)APT攻擊線索,利用上下文流量關(guān)系分析判斷攻擊結(jié)果,以特定APT組織活動(dòng)情報(bào)為基礎(chǔ)進(jìn)行“針對(duì)性”分析,通過攻擊場(chǎng)景的內(nèi)在關(guān)聯(lián)分析出APT的全鏈過程。產(chǎn)品具備以下關(guān)鍵能力:
云端持續(xù)化賦能
360云端安全大腦提供的安全大數(shù)據(jù)、威脅情報(bào)和專家服務(wù)持續(xù)支撐360NDR系統(tǒng)對(duì)APT威脅檢測(cè)分析與溯源。作為數(shù)字安全的領(lǐng)導(dǎo)者,360政企安全集團(tuán)擁有超2EB的安全大數(shù)據(jù)、全球獨(dú)有的實(shí)戰(zhàn)攻防樣本庫、300億樣本文件數(shù),通過攻防情報(bào)數(shù)據(jù)、特征數(shù)據(jù)、樣本數(shù)據(jù)和攻防全景知識(shí)庫等對(duì)360NDR實(shí)時(shí)聯(lián)動(dòng)賦能,從而全面實(shí)現(xiàn)對(duì)APT攻擊組織的追蹤溯源,可覆蓋千級(jí)惡意家族和攻擊團(tuán)伙。
高級(jí)攻擊方式的針對(duì)性分析
APT攻擊為了躲避檢測(cè),通常會(huì)采用相對(duì)“高級(jí)”的攻擊手法,比如免殺木馬、無文件木馬、沙箱逃逸、0Day溢出等對(duì)抗檢測(cè)系統(tǒng),這些手法本身“暗示”著APT攻擊行為。360NDR針對(duì)這類高級(jí)攻擊手法進(jìn)行針對(duì)性加強(qiáng)檢測(cè)和分析,比如針對(duì)沙箱逃逸的木馬,研究了130+反逃逸對(duì)抗點(diǎn),提升針對(duì)高級(jí)木馬的檢出率同時(shí)識(shí)別出高級(jí)的攻擊行為。
結(jié)合多種新老技術(shù)手段,擴(kuò)充發(fā)現(xiàn)的邊界
單一的檢測(cè)技術(shù)極可能漏報(bào),尤其是APT攻擊中的高級(jí)手段,因此360NDR的設(shè)計(jì)中采用了特征檢測(cè)、威脅情報(bào)、行為檢測(cè)、AI檢測(cè)等新老技術(shù)結(jié)合思路,其中特征檢測(cè)、威脅情報(bào)主要針對(duì)已知攻擊,比如公開的漏洞利用、API攻擊組織;行為檢測(cè)和AI檢測(cè)技術(shù)主要用于未知攻擊,比如免殺木馬、新的C2地址等。
KillChain和ATT&CK技戰(zhàn)術(shù)的體系化覆蓋
360NDR研究團(tuán)隊(duì)綜合研究公開的APT報(bào)告和常見攻擊手法,將網(wǎng)絡(luò)攻擊者的攻擊技術(shù)點(diǎn)細(xì)分到KillChain模型的各個(gè)階段、對(duì)應(yīng)到ATT&CK模型的細(xì)分技戰(zhàn)術(shù),確定基于流量可檢測(cè)分析覆蓋的每個(gè)攻擊技術(shù)點(diǎn),最大化檢測(cè)攻擊的每個(gè)過程。
基于已知APT組織情報(bào)的行為跟蹤分析
360NDR集成了360自身跟蹤發(fā)現(xiàn)的47個(gè)APT組織情報(bào)和業(yè)界已經(jīng)公開的所有APT組織威脅情報(bào)。這些情報(bào)應(yīng)用即用于檢測(cè)已被APT組織非法控制的資產(chǎn),也用于檢測(cè)傳播各類的惡意文件,通過“已知”推導(dǎo)“未知”,檢測(cè)相同APT組織的不同惡意代碼。
目前,360NDR已集成了全面的APT組織網(wǎng)絡(luò)武器檢測(cè)及分析能力,并大量服務(wù)于政府、金融、能源、電力、科研、監(jiān)管等重要行業(yè)用戶。為避免政企用戶遭受Quantum(量子)攻擊等APT安全威脅,請(qǐng)通過撥打電話:400-0309-360,盡快部署360NDR系統(tǒng)。未來,360NDR也將在360云端安全大腦的持續(xù)賦能下,不斷完善攻防實(shí)戰(zhàn)對(duì)抗和自動(dòng)化、智能化能力,為政企用戶的數(shù)字化轉(zhuǎn)型夯實(shí)安全基座。
