Quantum – NSA最强大的互联网攻击工具

作者 小禾才露尖尖角54

wired最近刊登了一篇详细描述有关Quantum的好文，披露了一些有关NSA Quantum系统的细节，其攻击能力令人印象深刻。

从本质上而言，Quantum是一个通用化的数据包注入工具，根据一些预设的模式对互联网的流量进行窃听，一旦发现来自于目标并匹配某种模式的数据包请求，便注入伪造的响应数据包，先于正常的响应数据包到达目标，进而实施下一步的攻击行动，比如展现一个假的Web页面、重定向到有漏洞的Web服务器、返回虚假的DNS响应等等。

文章列举的Quantum的手法包括：

- DNS和HTTP注入，并可使用伪造的SSL证书

- 对MySQL连接的注入

- 使用包注入构建幽灵服务器（Phantom Server)，冒充Botnet的C&C， 对基于IRC和HTTP协议的网络犯罪Botnet的劫持，甚至用于防御

- 令人印象深刻的 QUANTUMDEFENSE技术，可以窃听针对美国DoD NIPRnet的DNS请求，进而注入伪造的DNS响应，将目标引入NSA控制的站点

- 对Facebook向浏览器推送消息的idle连接的注入

- 还带有实验性质的邮件注入，检查发送Hotmail或者Yahoo邮件的连接是否包含特定的关键字，进而自动化的攻击

关于Quantum，仍然存在一些局限，最大的局限在于其所处的位置，其攻击的核心机制实现处于system high的敏感级别网络中，而窃听发生在system low的互联网上，单向网关控制着从system low 到system high的数据流，从low到high容易，反向却难，这限制了Quantum效能的发挥。第二个局限有关邮件注入，只能对独立的数据包进行窃听，而不能对TCP流进行窃听。最后一个局限与QUANTUMSMACKDOWN这个保护DoD网络资产的项目计划有关，Quantum可以识别恶意连接，通过注入数据包来伪造响应或终止连接，然而受限于Quantum对包进行窃听的特性，响应较慢，在决定终止连接时，DoD的网络资产可能已经遭到损坏。

文章还介绍了Airpwn这个Wifi注入工具，Quantum的原理与其类似，通过研究这个工具我们可以加深对Quantum的理解。

最后谈点感想

1、大部分互联网流量没有加密，这是Quantum可以大肆应用的原因，通过简单的加密就可以挫败Quantum攻击，Quantum的披露一定会推进加密技术的广泛应用，文章中也提到由于Facebook的加密，对facebook访问的注入已经不管用了。

2、Quantum控制犯罪僵尸网络，为我所用，而不是简单的将其捣毁，这既需要高超的技术，更需要想象力。

3、Quantum对DoD NIPRnet的防御机制，这正是以攻促防的典型案例。