360NDR率先支援對美國NSA量子攻擊威脅的檢測分析

Editor發表於2022-03-23

近日,360政企安全集團率先公開披露了美國國家安全域性(NSA)針對中國境內目標所使用的代表性網路武器——Quantum(量子)攻擊平臺。該平臺中的Quantum(量子)注入攻擊是NSA針對國家級網際網路專門設計的一種先進的網路流量劫持攻擊技術,主要針對國家級網路通訊進行中間劫持,以實施漏洞利用、通訊操控、情報竊取等一系列複雜網路攻擊,直接威脅我國政府、醫療機構、科研機構、教育機構和龍頭企業等重要行業及單位的數字安全。

 

Quantum(量子)注入攻擊按照攻擊特點可以歸類定義為MotS(Man on the Side)旁路型中間人攻擊。在真實的攻擊例項中,量子注入攻擊的實施方式異常複雜,既可以針對定向服務端進行中間人劫持訪問攻擊,也可以透過目標臨近的網路節點實施針對定向目標訪問發起流量劫持和入侵植入。安全人員難以準確定位網路鏈路中的哪一跳節點具體實施了量子注入攻擊,也極難捕獲完整的量子注入攻擊過程。

 

360政企安全集團第一時間開啟了全面的“狙擊戰”,基於360高階持續性威脅預警系統(簡稱:360NDR)實現對此攻擊的威脅檢測支援。針對量子攻擊的中間人劫持攻擊場景的全階段及各階段所表現出的特定行為特點,360NDR均具備檢測能力。

 

1)在注入攻擊階段,對注入攻擊流量中攜帶有不同負載的重複TCP報文,基於負載大小、報文時序、負載內容特徵等維度構建異常檢測模型,實現全面覆蓋量子攻擊的威脅檢測。

 

360NDR率先支援對美國NSA量子攻擊威脅的檢測分析

檢出NSA量子攻擊圖


360NDR率先支援對美國NSA量子攻擊威脅的檢測分析

量子攻擊告警詳情圖

 

2)在針對瀏覽器或其他應用的漏洞利用程式碼投遞階段,基於虛擬化沙箱、AI檢測模型實現對未知漏洞的檢測。

360NDR率先支援對美國NSA量子攻擊威脅的檢測分析

檢出NSA量子攻擊圖

 

3)在APT攻擊的通訊階段,基於360雲端安全大腦持續賦能的威脅情報檢測引擎,可以精準識別出NSA量子攻擊行為,遏制攻擊危害持續產生。


360NDR率先支援對美國NSA量子攻擊威脅的檢測分析

檢出NSA量子攻擊圖

 

類似Quantum(量子)攻擊這種由國家或經濟利益體驅動的專業攻擊團隊發起,長期實施、空前複雜且多方位的APT高階持續性威脅(Advanced Persistent Threat),已經成為當下網路空間內國與國對抗的最重要手段之一,更是網路戰的基礎攻擊手段之一。

 

360NDR360自主研發的透過流量分析結合全球威脅情報、行為分析、機器學習、虛擬執行、關聯分析等新一代安全技術對各型別網路攻擊行為(尤其是新型/未知威脅行為、APT組織活躍行為)進行深度檢測和分析的抗APT類產品。針對APT攻擊難以發現、隱蔽性強等特點,產品採用最大化檢測針對性分析場景化關聯結合的理念綜合採用8種檢測引擎最大化發現APT攻擊線索,利用上下文流量關係分析判斷攻擊結果,以特定APT組織活動情報為基礎進行“針對性”分析,透過攻擊場景的內在關聯分析出APT的全鏈過程。產品具備以下關鍵能力:

 

Ø  雲端持續化賦能

360雲端安全大腦提供的安全大資料、威脅情報和專家服務持續支撐360NDR系統對APT威脅檢測分析與溯源。作為數字安全的領導者,360政企安全集團擁有超2EB的安全大資料、全球獨有的實戰攻防樣本庫、300億樣本檔案數,透過攻防情報資料、特徵資料、樣本資料和攻防全景知識庫等對360NDR實時聯動賦能,從而全面實現對APT攻擊組織的追蹤溯源,覆蓋千級惡意家族和攻擊團伙

 

Ø  高階攻擊方式的針對性分析

APT攻擊為了躲避檢測,通常會採用相對“高階”的攻擊手法,比如免殺木馬、無檔案木馬、沙箱逃逸、0Day溢位等對抗檢測系統,這些手法本身“暗示”著APT攻擊行為。360NDR針對這類高階攻擊手法進行針對性加強檢測和分析,比如針對沙箱逃逸的木馬,研究了130+反逃逸對抗,提升針對高階木馬的檢出率同時識別出高階的攻擊行為。

 

Ø  結合多種新老技術手段,擴充發現的邊界

單一的檢測技術極可能漏報,尤其是APT攻擊中的高階手段,因此360NDR的設計中採用了特徵檢測、威脅情報、行為檢測、AI檢測等新老技術結合思路,其中特徵檢測、威脅情報主要針對已知攻擊,比如公開的漏洞利用、API攻擊組織;行為檢測和AI檢測技術主要用於未知攻擊,比如免殺木馬、新的C2地址等。

 

Ø  KillChain和ATT&CK技戰術的體系化覆蓋

360NDR研究團隊綜合研究公開的APT報告和常見攻擊手法,將網路攻擊者的攻擊技術點細分到KillChain模型的各個階段、對應到ATT&CK模型的細分技戰術,確定基於流量可檢測分析覆蓋的每個攻擊技術點,最大化檢測攻擊的每個過程。

 

Ø  基於已知APT組織情報的行為跟蹤分析

360NDR整合了360自身跟蹤發現的47個APT組織情報和業界已經公開的所有APT組織威脅情報。這些情報應用即用於檢測已被APT組織非法控制的資產,也用於檢測傳播各類的惡意檔案,透過“已知”推導“未知”,檢測相同APT組織的不同惡意程式碼。

 

目前,360NDR已整合了全面的APT組織網路武器檢測及分析能力,並大量服務於政府、金融、能源、電力、科研、監管等重要行業使用者。為避免政企使用者遭受Quantum(量子)攻擊等APT安全威脅,請透過撥打電話:400-0309-360,儘快部署360NDR系統。未來,360NDR也將在360雲端安全大腦的持續賦能下,不斷完善攻防實戰對抗和自動化、智慧化能力,為政企使用者的數字化轉型夯實安全基座。


相關文章