第63篇:美国NSA量子注入攻击的流量特征及检测方法

news2024/11/24 0:07:57

c7cd7989c8e4581e0ca64e6cb0460c4a.png

 Part1 前言 

大家好,我是ABC_123,公众号正式更名为”希潭实验室”,敬请关注。前不久花时间研究了美国NSA的量子注入攻击手法,并在Hackingclub山东济南站技术沙龙做了分享。对于这种攻击手法部分网友嗤之以鼻,认为是老美在搞噱头,夸张成分很大,但这种说法说不通,因为这个量子注入攻击手法和“酸狐狸”0day打击平台,是在美国斯诺登“棱镜门”事件中泄露的英文版PPT中反复提到的,涉密级别非常高,所以老美在自己内部搞噱头完全没必要。

这种攻击手法有以下几个难点:要有各种浏览器远程溢出0day漏洞做支撑,还必须有大量的中间网络设备权限做支撑,一般的APT组织难以实现。ABC_123曾经粗略介绍过这种攻击手法,依据“未知攻焉知防”的思考,接下来分享一下美国量子注入攻击的流量特征和检测方法。

建议大家把公众号“希潭实验室”设为星标,否则可能就看不到啦!因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法:点击右上角的【...】,然后点击【设为星标】即可。

01c9908d07f5e4f2e10f867d3e1c98a0.png

 Part2 技术研究过程 

首先放出一张ABC_123绘制的美国NSA量子注入攻击的示意图。

08065d5c2be8cf2b0abe1b3b4ef0ee96.png

正常访问流程:普通用户正常访问test111.com网站时,浏览器发送的请求包会经过多个网络设备转发,一直达到test111.com服务器,test111.com返回Hello World网页,然后经过多个网络设备返回给用户的浏览器,浏览器将网页进行渲染,将美观的页面展示给用户。

量子注入流程:美国NSA利用网络设备的0day漏洞或者之前APT攻击收集来的密码获取一台网络设备权限,然后安装“二次约会”中间人劫持工具,这款工具可以伪造返回包比test111.com网站返回的正常包提前达到用户浏览器,并在返回包中插入Location: http://fox-exploit.com/等恶意链接,迫使用户在不知情的情况下访问fox-exploit.com恶意网址,该网址就是美国搭建的“酸狐狸”0day攻击平台,该平台首先通过信息收集模块判断目标用户的浏览器版本、操作系统版本等,然后发送相应的浏览器远程溢出0day漏洞,获取该用户的电脑权限,然后实施监控。

  • 流量特征分析

对于这种攻击,基本上只能在流量中才能检测到,因而熟知流量特征是非常必要的,接下来ABC_123就分别从网络层、传输层、应用层谈一谈量子注入攻击的流量特征

  • 两个返回包具有相同的序列号

首先看一下传输层的特征:这是从国外的一篇分析文章中看到的,可以说是量子注入攻击的一个致命缺点。如下图所示,通过wireshark抓包可以看到,同一个请求,出现了两个返回包,而且Sequence Number (raw)的值是相同的,后一个返回包很明显被丢弃。

1cd3535410d4071cd92f68fa7a67d142.png

906c59dd2e134b08d0043592a2ecb705.png

  • 生存时间TTL值存在差异

接下来看一下网络层的特征:经过对比两个返回包发现,由于经过篡改的恶意的返回包,会比正常网站的返回数据包提前到达用户浏览器,因而这个TTL值通常会偏大,因为正常的返回数据包经过更多的网络设备转发,造成TTL的值逐级减1。

d83bdf40173c51c824edfabe628a7eb8.png

3261cb56ee3514ce8af5e30b656bd090.png

  • 返回数据包存在恶意网址

最后看一下应用层的特征:一般来讲,量子注入攻击的返回数据包主要有两种:一种是直接返回一个302重定向,然后在Location后面加上恶意网址,使用户浏览器重定向到恶意网址;另一种是在返回页面中直接插入iframe标签,嵌入恶意网址。对于这种情况,比较难检测,最好是能够结合威胁情报系统对恶意域名进行辨别

c63ccebf5fdbe61153a56a3c1e3c2902.png

49c9a31058dc65ee1939e8dadaa8f5dd.png

 Part3 总结 

1.  目前一些国内的安全设备已经可以检测量子注入攻击这种手法了,但是成功率有多高,ABC_123没有实践过无法做出评论。

2.  上述特征基本上可以大致判断出量子注入攻击,但是可能会与常见的TCP链路劫持攻击混为一谈,还是要结合技术人员的经验进行区分

3.   量子注入攻击也可能会伪造源头TTL值,这种情况下非常难解决,但是还是有办法溯源到出故障的路由节点的,后续ABC_123会专门写文章分享自己的研究心得,敬请期待

2c64901941737caeaf1cbafe59ec1b04.png

公众号专注于网络安全技术分享,包括APT事件分析、红队攻防、蓝队分析、渗透测试、代码审计等,每周一篇,99%原创,敬请关注。

Contact me: 0day123abc#gmail.com(replace # with @)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/575332.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Linux下的进程状态和 僵尸/孤儿进程的区别

目录 Linux进程的各种状态的表示: R状态的测验: S状态的测验: T状态的测验: 这次讲解一个新指令:kill -l t状态测验:追踪暂停 X状态:死亡状态 Z状态:僵尸状态 进程一直处于…

过孔焊盘~尺寸、间隙、通流能力

过孔焊盘 导通孔(via)焊盘尺寸 a) 外层焊盘环宽(A)要大于5mil,内层焊盘环宽(A)要大于8mil, 推荐导通孔孔径及焊盘尺寸如下: b) 推荐反焊盘大小尺寸≥过孔焊盘+20MIL。 走线与金属化孔间的最小间隙 推荐的走线距金属…

Roblox 不但不支持 Linux,还屏蔽了 Wine

导读据悉,Roblox 不但不支持 Linux,还屏蔽了 Wine。 Roblox 不但不支持 Linux,还屏蔽了 Wine 多人游戏 Roblox 没有 Linux 原生版本,但之前可以通过 Wine 在 Linux 上运行。不过其最新的反作弊软件专门屏蔽了 Wine 应用&#xff…

XuperChain共建守护者系列藏品震撼发行,最新合成玩法揭秘

5月30日上午10点,百度超级链重磅推出「XuperChain共建守护者系列」藏品。「XuperChain共建守护者徽章系列」自身具有权益,也可与共建徽章系列藏品合成新藏品,玩法多多、福利多多,等你探索! 共建守护者系列共计20款藏品…

智能集成接口:I3 ISA-95 的应用

介绍 多年来,使用基于制造运营管理 (MOM) 的应用程序的制造 IT 顾问试图说服制造商这些类型的应用的高价值。实时 MOM 解决方案是唯一一组能够精确优化工厂日常运营的 IT 应用程序,可为其可用性流程带来可创造的价值,…

《操作系统》期末客观题梳理

《操作系统》复习(1-9) 文章目录 《操作系统》复习(1-9)Ⅰ知识点概念第一章操作系统导论第二章进程描述与控制第三章处理机调度死锁第四章进程同步第五章存储器管理第六章虚拟存储器第七章输入输出系统第八章文件管理第九章磁盘存…

探索无限可能:物联网技术的未来应用引领智能化时代

⭐ 物联网技术⭐ 物联网技术的应用⭐ 物联网发展和创新挑战 当我们回顾过去几十年的科技发展,不难发现物联网技术的崛起和蓬勃发展。物联网的概念已经成为当今科技领域的热门话题,它正在以惊人的速度渗透到我们的日常生活中。从智能家居到智能城市&#…

【C++】map容器

更明确的类型重命名规则using 在C语言中typedef将一个变量提升为一种类型: typedef int * p;//p是int*类型//int Array[10];//Array是一个可装10个int类型变量的数组。typedef int Array[10];//Array是一个可装10个int类型变量的数组的类型//Array arr;…

[golang 微服务] 1.单体式架构以及微服务架构介绍

一.单体架构 在了解微服务之前首先看看单体架构,单体架构在 中小企业内部用的是非常多的,当 业务不复杂, 团队规模不大的时候,单体架构比微服务架构具有 更高的生产率,比如2017年前的淘宝都是单体架构 单体架构的程序部署在单台服务器 这种架…

计算机网络考试多选题汇总Ⅱ

https://cadyin.blog.csdn.nethttps://blog.csdn.net/qq_38639612?spm1010.2135.3001.5421 计算机网络考试多选题汇总 1、在Windows中,任务管理器的作用是() A.终止未响应的应用程序 B.终止进程的运行 C.查看系统当前的信息 …

Springboot服务端接口公网远程调试,并实现HTTP服务监听

文章目录 前言1. 本地环境搭建1.1 环境参数1.2 搭建springboot服务项目 2. 内网穿透2.1 安装配置cpolar内网穿透2.1.1 windows系统2.1.2 linux系统 2.2 创建隧道映射本地端口2.3 测试公网地址 3. 固定公网地址3.1 保留一个二级子域名3.2 配置二级子域名3.2 测试使用固定公网地址…

Hybrid Shuffle 测试分析和使用建议

摘要:Apache Flink 社区在 1.16 版本引入了 Hybrid Shuffle Mode [1],它是传统的 Batch Shuffle 和 Pipelined Shuffle 的结合,让 Flink 批处理具备了更强大的能力。Hybrid Shuffle 的核心思想是打破调度约束,根据可用资源的情况来…

vue 获取url地址的参数

url是一个 URL地址,我们在使用 vue的时候,经常需要获取 url的参数,获取方法有很多种,这里我只介绍一种获取 url参数的方法,那就是使用 Requests. urlset. newContext ()方法。 这个方法就是调用…

华为OD机试真题B卷 Java 实现【内存资源分配】

一、题目描述 有一个简易内存池,内存按照大小粒度分类,每个粒度有若干个可用内存资源,用户会进行一系列内存申请,需要按需分配内存池中的资源,返回申请结果成功失败列表。 分配规则如下: 分配的内存要大…

论文浅尝 | 大规模知识图谱中的知识图谱补全和多跳推理

笔记整理:刘健宇,东南大学硕士,研究方向为知识图谱规则学习与推理 链接:https://dl.acm.org/doi/abs/10.1145/3534678.3539405 动机 知识图谱(KG) 以头-关系-尾三元组的形式捕获知识,是许多人工智能系统中的重要组成部…

chatgpt赋能python:Python文件另存为教程:让文件保存到你想要的地方

Python 文件另存为教程:让文件保存到你想要的地方 最近,我看到有人在问如何使用Python来另存文件。对于许多初学者或非技术人员来说,这可能看起来很困难,但实际上,Python 提供了一些非常简单的方法来达到这一目的。下…

产品发布+联合演讲+认证+奖项丨云和恩墨在openGauss Developer Day 2023主论坛大放异彩...

openGauss Developer Day 2023 5月26日,一场数据库开发者年度盛会「openGauss Developer Day 2023」在北京昆泰嘉瑞文化中心成功召开。大会汇聚产学研用各界知名专家分享 openGauss 社区的技术创新、优秀实践和生态成果,吸引了线上线下数千名开发者、技术…

大手笔!微软一口气发布了 3 款开发者工具。。

公众号关注 “GitHubDaily” 设为 “星标”,每天带你逛 GitHub! 昨天我发了一篇 Build 大会相关的生产力产品,介绍了未来 Windows 将集成的一系列 AI 特性,以及如何帮助人们更好的利用 AI,辅助完成各类繁琐的工作。 今…

Go1.21 速览:正式结束对 macOS 10.13 和 10.14 的支持

大家好,我是煎鱼。 根据 Go 语言的版本发布规律,一般是 2 月份和 8 月份各会发布一个新的版本。当前是 Go1.20。也就是在 8 月份会发布 Go1.21 这一个新版本。 在这个新版本,将会正式的结束对 macOS 10.13 和 10.14 的支持,并禁用…

27 VueComponent 计算属性的实现

前言 这是最近的碰到的那个 和响应式相关的问题 特定的操作之后响应式对象不“响应“了 引起的一系列的文章 主要记录的是 vue 的相关实现机制 呵呵 理解本文需要 vue 的使用基础, js 的使用基础 测试用例 用例如下, 我们这里核心关注 counterPlus100 这个计算变量 问…