360报告 安全提醒用户超千万次

(量子下载):该模块提供分析恶意网络流量的能力，可以从下载的网络流量中拦截和提取恶意负载和恶意样本等。主要用于NSA收集目标坠落和非美国攻击源的信息，也可以防御和分析自身网络环境下的恶意流量。

(量子)攻击的实现过程分析

美国国家安全局(NSA)制定了众多监控全球互联网目标的行动计划。相关计划[6]中涉及的具体任务将通过(量子)系统平台实施从分析可以推测，实施过程中收集的大量数据是在用户不知情的情况下获得的。渗透技术使得美国公民和世界其他国家网民的个人隐私得不到应有的保护，公民的隐私权受到不同程度的侵犯。

当国家安全局或联邦政府其他部门下达的黑客攻击任务提交给(quantum)系统时，攻击者会先监听目标的网络流量，劫持目标访问的特定网站，然后通过各种0-day(零日)漏洞向目标互联网终端植入(verifier)等以环境探索为目的的后门程序，完成初始情报收集。随后安装更先进的后门程序，进行一系列高精尖的网络渗透攻击，最终完成情报搜集任务。存储在目标互联网终端中的静态文件、互联网流量和通信内容都被美国国家安全局列为机密。

(量子)攻击的整个实施过程分为以下三个阶段，现在已经完全工程化和自动化了：

第一阶段，

(量子)攻击的实施者将首先在网络上定位目标。整个定位过程是由NSA持有的一整套" "(量子能力)和网络黑客工具完成的。这些工作有能力远程劫持和控制全球互联网巨头的网络流量。

根据NSA机密文件，“(量子能力)定位操作不仅针对特定IP，更重要的是可以远程定位全球网民最常用的互联网服务和不同网站账号，如电子邮件、社交网络、搜索引擎、视频网站等。并快速找出攻击目标、网络和上网位置。

参考[7]量子攻击系统任务操作介绍第12页。

第二阶段，

目标定位后，量子攻击行动将进入被NSA称为“QUANTUMSIGDEV”的阶段。这一阶段的主要任务是全面监控目标的互联网账户及其他相关网络通信内容和其他网络活动。

如以下美国国家安全局(NSA)的机密文件所示，NSA的量子攻击系统后台显示了如何监控雅虎、脸书、Hotmail等美国互联网产品注册用户的一些细节，表明NSA实际上是在对全球使用美国互联网产品的用户实施无差别监控。

参考[7]量子攻击系统任务操作介绍第14页。

第三阶段，

量子(QUANTUM)攻击行动已经进入了被NSA称为“量子化”的阶段，“国家”的代号有一定的网络空间边界和国界的含义。

30云安全大脑目前美国国家安全局(NSA)实施的大部分网络黑客攻击都是针对他国用户的漏洞攻击。在攻击过程中，NSA会将以VALIDATOR为代表的NSA后门程序长期植入目标用户的互联网终端，然后通过这些后门程序发动更复杂的网络攻击。

如以下NSA机密文件所示，量子攻击系统正在对目标用户访问的脸书网站进行CNE(网络情报收集)攻击。NSA的量子攻击系统后台显示了目标用户访问脸书时NSA实施的漏洞攻击的确切时间，还标注了受害者网页浏览器类型等隐私信息。

参考[7]中量子攻击系统任务操作介绍第24页。我们完整还原了APT-C-40针对国内特定机构发起的黑客攻击和数据窃取事件。

06量子注入攻击的完整示例

根据以上章节的分析，量子攻击系统是一种极其复杂和精密的高级网络攻击平台在30大数据的视野中发现了大量由APT-C-40组织的QUANTUMINSERT攻击的痕迹。这些攻击实例包括利用FoxAcid (Acid Fox)钓鱼服务器的漏洞，向受害者植入以VALIDATOR(验证器)和UNITEDRAKE(联合RAKE)为代表的NSA专用后门程序，窃取大量受害者的个人隐私和在线数据。

Fox攻击武器需要QUANTUMINSERT(量子注入)和QUANTUMBISCUIT(量子饼干)两个量子系统模块的支持，劫持并向FoxAcid提供最基本的网络流量。Fox攻击武器利用各种主流浏览器和Flash应用的0-0day漏洞对目标对象进行攻击，然后发送到其互联网终端。

从QUANTUMINSERT的原理分析，NSA利用网络响应速度的差异，实现量子注入攻击，劫持全球互联网上任意终端设备的正常网页浏览流量。在互联网骨干网络中部署NSA FoxAcid服务器，可以使网络攻击的受害者在真正的网站服务器响应之前，收到NSA quantum攻击劫持的假服务器响应，迫使受害者重定向到NSA FoxAcid假冒网站或web资源。

Quantum（量子）注入攻击在安全业界又被归类定义为MotS（ManontheSide）旁路型中间人攻击，我们观察到的完整Quantum（量子）注入攻击过程如下图所示：

在完整的攻击实例中，Quantum（量子）注入攻击伪造的HTTP重定向报文会先于正常响应报文到达用户上网终端。

攻击过程中，由美国国家安全局（NSA）伪造的数据包和正常的网络数据包会带有相同的序列号（Sequence），对受害者上网终端形成欺骗。

在真实的Quantum(量子)系统注入攻击实例中，我们发现量子注入攻击的实施方式异常复杂，呈现出分布式跳板节点的特征。面对这种定向、瞬时、分布式攻击情况，安全人员难以准确定位网络链路中的哪一跳节点具体实施了量子注入攻击，也极难捕获完整的量子注入攻击过程。但即使在如此艰难和复杂的攻防场景下，360云端安全大脑仍依靠独一无二的安全大数据能力，仍捕获了大量美国国家安全局（NSA）的Quantum（量子）注入攻击的专用后门程序武器样本。

从被公开揭露的NSA机密文档《QUANTUMShooterSBZNotes》[8]内容可以印证：

参考[8]文档QUANTUMShooterSBZNotes

1.NSA需要在网络传输线路上建立被动监听节点，持续不断窃取信道中的网络信号数据，并实现高速解码和条件匹配，这一项目被NSA称为TURMOIL（混乱，与量子攻击系统配套的后门监听系统），该系统需要具备极高性能，以确保对窃取到的网络数据包解码匹配时间尽可能短。

2.一个具体场景是，当NSA网络攻击受害者利用访问Facebook（脸书）等美国网站，相关访问流量数据包会被TURMOIL系统定时监听并解析匹配，一旦匹配到NSA想要入侵的攻击目标，Quantum(量子)攻击平台就会通过TURBINE（涡轮，量子攻击系统配套的后门植入工具）向感染SBZ（StraitBizarre，一种可以实施量子注入攻击的跳板后门）的网络设备发送命令，控制SBZ向受害者上网终端发送伪造的量子注入数据包，相关数据包通常是进行HTTP重定向，迫使受害者访问FoxAcid服务器。

3.SBZ节点又被归类为QUANTUMShooter（量子射手）节点，由于NSA要保证SBZ发送的数据包先于正常服务器响应数据包到达受害者，相关节点必须离受害者足够“近”（网络延迟足够低）。同时，为了保证攻击成功率，相关节点也会出现分布式攻击情况。由于这种攻击手法常常用于对特定受害者发动定向攻击，使QUANTUMShooter（量子射手）节点的攻击行为同时具备了定向性、瞬时性和分布式特点，导致极难被追踪分析。

07小结

美国国家安全局（NSA）的全球化无差别黑客入侵行径，离不开庞大而复杂的网络武器平台支持。本报告针对QUANTUM（量子）攻击系统的应用场景和攻击实施过程进行的技术分析，结合360云端安全大脑视野发现的真实案例，全面印证了美国国家安全局（NSA）针对全球互联网用户实施大规模无差别网络攻击的详细情况，也引发了我们的进一步思考：

一、美国NSA网络武器攻击已完全实现了工程化、自动化。

网络战时代到来，网络武器的自动化、智能化优势成为超越信息优势的“进阶优势”，而NSA组织的QUANTUM（量子）系统可能仅是冰山一角，美国或掌握着更多更高度工程化的网络攻击平台，其自动化的“思考”速度和质量，极大提高了美国自主作战系统实现制胜目标的优势，也为全球网络安全带来无穷隐忧。

二、为实施并制胜网络战，美国政府充分利用一切先进技术和网络资源。

美国有着全球最先进的互联网技术，这是尽人皆知的，但为了掌握网络战主导权，美国将诸如QUANTUM（量子）攻击系统等大量顶级技术手段、高端人才、情报力量纳入作战序列，由此可见，美国对发展网络作战力量的重视程度，并不计成本地投入资源、增加筹码。

三、美国的网络攻击属于无差别攻击，目标是全球范围，甚至包括美国盟友。

由上述分析可见，美国针对各类电子邮箱、社交网络、搜索引擎、视频网站等几乎所有互联网用户发起无差别的网络攻击，美国的网络战略打击是全球性的、无节制的，在美国网络攻击的镰刀之下，没有哪一国能独善其身。

四、美国的网络战战略，或不仅限于网络窃密。

通过公开的资料已知，美国已经完成了其网络战战略目标第一步——网络窃密，像斯诺登还有维基百科爆料的“棱镜”计划都属于这一范畴，但不排除美国的下一步目标野心将更大。一旦通过在对手的电脑网络中安插硬件或软件后门，实现关键目标远程操控，包括军事系统、国家公共安全领域的服务器、民航公路铁路交通系统的主机、银行金融系统的服务器等，如果美国更大的战略目标实现，其对手将毫无谈判余地。

参考

[1]TailoredAccessOperations

https://en.wikipedia.org/wiki/Tailored_Access_Operations

[2]NSAAntProductCatalog

https://www.eff.org/files/2014/01/06/20131230-appelbaum-nsa_ant_catalog.pdf

[3]THENSALEAKISREAL,SNOWDENDOCUMENTSCONFIRM

https://theintercept.com/2016/08/19/the-nsa-was-hacked-snowden-documents-confirm/

[4]QuantumInsertDiagrams

https://theintercept.com/document/2014/03/12/quantum-insert-diagrams/

[5]ThereisMoreThanOneWaytoQUANTUM

https://www.eff.org/files/2014/04/09/20140312-intercept-multiple_methods_of_quantum.pdf

[6]CaseStudiesofIntegratedCyberOperationTechniques

https://www.eff.org/files/2015/01/27/20150117-spiegel-overview_of_methods_for_nsa_integrated_cyber_operations_0.pdf

[7]NSAQUANTUMTaskingTechniquesfortheRTAnalyst

https://www.aclu.org/files/natsec/nsa/20140130/%28TS%29%20NSA%20Quantum%20Tasking%20Techniques%20for%20the%20RT%20Analyst.pdf

[8]QUANTUMShooterSBZNotes

https://www.eff.org/files/2015/02/03/20150117-spiegel-quantumshooter_implant_to_remote-control_computers_from_unknown_third_parties.pdf

---------------------------------------

（市场有风险，投资交易需谨慎。所涉标的不做任何推荐，据此投资交易，风险自负。）

本文链接：http://www.slxf119.com/16769.html 转载需授权！