360NDR率先支援對美國NSA量子攻擊威脅的檢測分析
近日,360政企安全集團率先公開披露了美國國家安全域性(NSA)針對中國境內目標所使用的代表性網路武器——Quantum(量子)攻擊平臺。該平臺中的Quantum(量子)注入攻擊是NSA針對國家級網際網路專門設計的一種先進的網路流量劫持攻擊技術,主要針對國家級網路通訊進行中間劫持,以實施漏洞利用、通訊操控、情報竊取等一系列複雜網路攻擊,直接威脅我國政府、醫療機構、科研機構、教育機構和龍頭企業等重要行業及單位的數字安全。
Quantum(量子)注入攻擊按照攻擊特點可以歸類定義為MotS(Man on the Side)旁路型中間人攻擊。在真實的攻擊例項中,量子注入攻擊的實施方式異常複雜,既可以針對定向服務端進行中間人劫持訪問攻擊,也可以透過目標臨近的網路節點實施針對定向目標訪問發起流量劫持和入侵植入。安全人員難以準確定位網路鏈路中的哪一跳節點具體實施了量子注入攻擊,也極難捕獲完整的量子注入攻擊過程。
360政企安全集團第一時間開啟了全面的“狙擊戰”,基於360高階持續性威脅預警系統(簡稱:360NDR)實現對此攻擊的威脅檢測支援。針對量子攻擊的中間人劫持攻擊場景的全階段及各階段所表現出的特定行為特點,360NDR均具備檢測能力。
1)在注入攻擊階段,對注入攻擊流量中攜帶有不同負載的重複TCP報文,基於負載大小、報文時序、負載內容特徵等維度構建異常檢測模型,實現全面覆蓋量子攻擊的威脅檢測。
檢出NSA量子攻擊圖
量子攻擊告警詳情圖
2)在針對瀏覽器或其他應用的漏洞利用程式碼投遞階段,基於虛擬化沙箱、AI檢測模型實現對未知漏洞的檢測。
檢出NSA量子攻擊圖
3)在APT攻擊的通訊階段,基於360雲端安全大腦持續賦能的威脅情報檢測引擎,可以精準識別出NSA量子攻擊行為,遏制攻擊危害持續產生。
檢出NSA量子攻擊圖
類似Quantum(量子)攻擊這種由國家或經濟利益體驅動的專業攻擊團隊發起,長期實施、空前複雜且多方位的APT高階持續性威脅(Advanced Persistent Threat),已經成為當下網路空間內國與國對抗的最重要手段之一,更是網路戰的基礎攻擊手段之一。
360NDR是360自主研發的、透過流量分析結合全球威脅情報、行為分析、機器學習、虛擬執行、關聯分析等新一代安全技術對各型別網路攻擊行為(尤其是新型/未知威脅行為、APT組織活躍行為)進行深度檢測和分析的抗APT類產品。針對APT攻擊難以發現、隱蔽性強等特點,產品採用“最大化檢測”、“針對性分析”、“場景化關聯”結合的理念,綜合採用8種檢測引擎最大化發現APT攻擊線索,利用上下文流量關係分析判斷攻擊結果,以特定APT組織活動情報為基礎進行“針對性”分析,透過攻擊場景的內在關聯分析出APT的全鏈過程。產品具備以下關鍵能力:
Ø 雲端持續化賦能
360雲端安全大腦提供的安全大資料、威脅情報和專家服務持續支撐360NDR系統對APT威脅檢測分析與溯源。作為數字安全的領導者,360政企安全集團擁有超2EB的安全大資料、全球獨有的實戰攻防樣本庫、300億樣本檔案數,透過攻防情報資料、特徵資料、樣本資料和攻防全景知識庫等對360NDR實時聯動賦能,從而全面實現對APT攻擊組織的追蹤溯源,可覆蓋千級惡意家族和攻擊團伙。
Ø 高階攻擊方式的針對性分析
APT攻擊為了躲避檢測,通常會採用相對“高階”的攻擊手法,比如免殺木馬、無檔案木馬、沙箱逃逸、0Day溢位等對抗檢測系統,這些手法本身“暗示”著APT攻擊行為。360NDR針對這類高階攻擊手法進行針對性加強檢測和分析,比如針對沙箱逃逸的木馬,研究了130+反逃逸對抗點,提升針對高階木馬的檢出率同時識別出高階的攻擊行為。
Ø 結合多種新老技術手段,擴充發現的邊界
單一的檢測技術極可能漏報,尤其是APT攻擊中的高階手段,因此360NDR的設計中採用了特徵檢測、威脅情報、行為檢測、AI檢測等新老技術結合思路,其中特徵檢測、威脅情報主要針對已知攻擊,比如公開的漏洞利用、API攻擊組織;行為檢測和AI檢測技術主要用於未知攻擊,比如免殺木馬、新的C2地址等。
Ø KillChain和ATT&CK技戰術的體系化覆蓋
360NDR研究團隊綜合研究公開的APT報告和常見攻擊手法,將網路攻擊者的攻擊技術點細分到KillChain模型的各個階段、對應到ATT&CK模型的細分技戰術,確定基於流量可檢測分析覆蓋的每個攻擊技術點,最大化檢測攻擊的每個過程。
Ø 基於已知APT組織情報的行為跟蹤分析
360NDR整合了360自身跟蹤發現的47個APT組織情報和業界已經公開的所有APT組織威脅情報。這些情報應用即用於檢測已被APT組織非法控制的資產,也用於檢測傳播各類的惡意檔案,透過“已知”推導“未知”,檢測相同APT組織的不同惡意程式碼。
目前,360NDR已整合了全面的APT組織網路武器檢測及分析能力,並大量服務於政府、金融、能源、電力、科研、監管等重要行業使用者。為避免政企使用者遭受Quantum(量子)攻擊等APT安全威脅,請透過撥打電話:400-0309-360,儘快部署360NDR系統。未來,360NDR也將在360雲端安全大腦的持續賦能下,不斷完善攻防實戰對抗和自動化、智慧化能力,為政企使用者的數字化轉型夯實安全基座。
相關文章
- 威脅情報專欄|ADDP反射攻擊來襲?NTI已支援相關檢測反射
- 利用WS-Discovery反射攻擊?綠盟科技威脅情報中心已支援相關檢測反射
- 利用漏洞攻擊Edimax WiFi橋接器,綠盟威脅情報中心支援相關檢測WiFi橋接
- 黑客利用深信服SSL VPN進行攻擊,綠盟威脅情報已支援相關檢測黑客
- 網路安全中*具威脅的攻擊方式!
- RowHammer 攻擊:記憶體的隱形威脅記憶體
- 內網威脅感知與攻擊溯源系統內網
- 旨在改進威脅檢測的系統
- 三種方法助您緩解SQL隱碼攻擊威脅SQL
- ICMP隱蔽隧道攻擊分析與檢測(二)
- ICMP隱蔽隧道攻擊分析與檢測(三)
- ICMP隱蔽隧道攻擊分析與檢測(四)
- 黑帽大會:十大最具威脅的黑客攻擊方式黑客
- DNS伺服器受攻擊,建站不可忽略的網路威脅DNS伺服器
- 逾千萬使用 https 的站點受到新型解密攻擊的威脅HTTP解密
- 西北工業大學遭網路攻擊,源頭來自美國NSA!
- 俄方披露:全球75%網路攻擊源頭來自美國,網路威脅持續升級
- 常見網路安全威脅及攻擊型別介紹!型別
- 網站漏洞檢測工具對CSRF攻擊詳情網站
- 預防ddos攻擊檢測
- DDoS攻擊的大量增加給企業帶來了新的威脅—VecloudCloud
- Deloitte:2017年IoT裝置DDoS攻擊威脅報告
- 新技術,新威脅 十大Web2.0下的攻擊(轉)Web
- 新技術 新威脅 Web2.0下的十大攻擊(轉)Web
- NSA:對於量子計算,佈防刻不容緩
- 水資源領域受威脅 CISA警告注意針對水和廢水系統的網路攻擊
- 警報!無線路由器面臨網路攻擊新威脅路由器
- 綠盟威脅情報中心報告:疫情期間境外黑客發起對我國網路攻擊案例黑客
- 使用基於 AI 的網路安全更快地檢測威脅AI
- 對於“AI威脅論”的思考AI
- 新基建下的威脅狩獵|看綠盟綜合威脅分析系統
- 對門控系統的攻擊面檢查
- 升訊威線上客服系統:客戶收到攻擊威脅勒索,我是如何保障客戶安全的
- Pew:近3/4的美國人將網路襲擊列為美國第二大威脅
- “海蓮花”APT報告:攻擊中國政府海事機構的網路空間威脅APT
- ClickHouse與威脅日誌分析
- 威脅分析矩陣(轉載)矩陣
- 如何應對勒索軟體的威脅