随手记

一、第63篇:美国NSA量子注入攻击的流量特征及检测方法

  1. 量子注入流程
    1. 美国NSA利用网络设备的0day漏洞或者之前APT攻击收集来的密码获取一台网络设备权限,然后安装“二次约会”中间人劫持工具,这款工具可以伪造返回包比test111.com网站返回的正常包提前达到用户浏览器,并在返回包中插入Location: http://fox-exploit.com/等恶意链接,迫使用户在不知情的情况下访问fox-exploit.com恶意网址,该网址就是美国搭建的“酸狐狸”0day攻击平台,该平台首先通过信息收集模块判断目标用户的浏览器版本、操作系统版本等,然后发送相应的浏览器远程溢出0day漏洞,获取该用户的电脑权限,然后实施监控。
  2. 流量特征分析

    1. 两个返回包具有相同的序列号

      同一个请求,出现了两个返回包,而且Sequence Number (raw)的值是相同的,后一个返回包很明显被丢弃。

    2. 生存时间TTL值存在差异

      接下来看一下网络层的特征:经过对比两个返回包发现,由于经过篡改的恶意的返回包,会比正常网站的返回数据包提前到达用户浏览器,因而这个TTL值通常会偏大,因为正常的返回数据包经过更多的网络设备转发,造成TTL的值逐级减1。

    3. 返回数据包存在恶意网址

      最后看一下应用层的特征:一般来讲,量子注入攻击的返回数据包主要有两种:一种是直接返回一个302重定向,然后在Location后面加上恶意网址,使用户浏览器重定向到恶意网址;另一种是在返回页面中直接插入iframe标签,嵌入恶意网址。对于这种情况,比较难检测,最好是能够结合威胁情报系统对恶意域名进行辨别

二、记一次全设备通杀未授权RCE的挖掘经历

周末待看

一周总结