随手记

一、第63篇：美国NSA量子注入攻击的流量特征及检测方法

1. 量子注入流程
   1. 美国NSA利用网络设备的0day漏洞或者之前APT攻击收集来的密码获取一台网络设备权限，然后安装“二次约会”中间人劫持工具，这款工具可以伪造返回包比test111.com网站返回的正常包提前达到用户浏览器，并在返回包中插入Location: http://fox-exploit.com/等恶意链接，迫使用户在不知情的情况下访问fox-exploit.com恶意网址，该网址就是美国搭建的“酸狐狸”0day攻击平台，该平台首先通过信息收集模块判断目标用户的浏览器版本、操作系统版本等，然后发送相应的浏览器远程溢出0day漏洞，获取该用户的电脑权限，然后实施监控。
2. 流量特征分析

   1. 两个返回包具有相同的序列号

      同一个请求，出现了两个返回包，而且Sequence Number (raw)的值是相同的，后一个返回包很明显被丢弃。

   2. 生存时间TTL值存在差异

      接下来看一下网络层的特征：经过对比两个返回包发现，由于经过篡改的恶意的返回包，会比正常网站的返回数据包提前到达用户浏览器，因而这个TTL值通常会偏大，因为正常的返回数据包经过更多的网络设备转发，造成TTL的值逐级减1。

   3. 返回数据包存在恶意网址

      最后看一下应用层的特征：一般来讲，量子注入攻击的返回数据包主要有两种：一种是直接返回一个302重定向，然后在Location后面加上恶意网址，使用户浏览器重定向到恶意网址；另一种是在返回页面中直接插入iframe标签，嵌入恶意网址。对于这种情况，比较难检测，最好是能够结合威胁情报系统对恶意域名进行辨别。

周末待看

• [ ]

• [ ]

一周总结

下周规划

摘抄