wired最近刊登了一篇详细描述有关 Quantum的好文 ,披露了一些有关NSA Quantum系统的细节,其攻击能力令人印象深刻。
从本质上而言,Quantum是一个通用化的数据包注入工具,根据一些预设的模式对互联网的流量进行窃听,一旦发现来自于目标并匹配某种模式的数据包请求,便注入伪造的响应数据包,先于正常的响应数据包到达目标,进而实施下一步的攻击行动,比如展现一个假的Web页面、重定向到有漏洞的Web服务器、返回虚假的DNS响应等等。
文章列举的Quantum的手法包括:
- DNS和HTTP注入,并可使用伪造的SSL证书
- 对MySQL连接的注入
- 使用包注入构建幽灵服务器(Phantom Server),冒充Botnet的C&C, 对基于IRC和HTTP协议的网络犯罪Botnet的劫持,甚至用于防御
- 令人印象深刻的 QUANTUMDEFENSE技术,可以窃听针对美国DoD NIPRnet的DNS请求,进而注入伪造的DNS响应,将目标引入NSA控制的站点
- 对Facebook向浏览器推送消息的idle连接的注入
- 还带有实验性质的邮件注入,检查发送Hotmail或者Yahoo邮件的连接是否包含特定的关键字,进而自动化的攻击
关于Quantum,仍然存在一些局限,最大的局限在于其所处的位置,其攻击的核心机制实现处于system high的敏感级别网络中,而窃听发生在system low的互联网上,单向网关控制着从system low 到system
high的数据流,从low到high容易,反向却难,这限制了Quantum效能的发挥。第二个局限有关邮件注入,只能对独立的数据包进行窃听,而不能对TCP流进行窃听。最后一个局限与 QUANTUMSMACKDOWN这个保护DoD网络资产的项目计划有关,Quantum可以识别恶意连接,通过注入数据包来伪造响应或终止连接,然而受限于Quantum对包进行窃听的特性,响应较慢,在决定终止连接时,DoD的网络资产可能已经遭到损坏。
文章还介绍了 Airpwn这个Wifi注入工具,Quantum的原理与其类似,通过研究这个工具我们可以加深对Quantum的理解。
最后谈点感想,
1、大部分互联网流量没有加密,这是Quantum可以大肆应用的原因,通过简单的加密就可以挫败Quantum攻击,Quantum的披露一定会推进加密技术的广泛应用,文章中也提到由于Facebook的加密,对facebook访问的注入已经不管用了。
2、Quantum控制犯罪僵尸网络,为我所用,而不是简单的将其捣毁,这既需要高超的技术,更需要想象力。
3、Quantum对DoD NIPRnet的防御机制,这正是以攻促防的典型案例。