來自Fox-IT的安全專家已經開發出一種可檢測NSA Quantum注入攻擊的方法，并寫出一份有趣的報告，將之公之于眾。

Quantum注入剖析

Quantum注入攻擊是一種“情報竊取”技術，最初由斯諾登披露的文檔曝光。

這種技術典型攻擊方案就是“HTML重定向”攻擊，說簡單點就是往受害者流量里注入惡意內容。攻擊者在受害者的TCP會話注入了惡意代碼，比如可持續追蹤的cookie，就可以精確監控這個受害者。一旦確定某段session是歸屬于受害者后，攻擊工具組件便會迅速將惡意代碼注入含這段session的數據流，最后黑掉受害者。

Quantum在攻擊時會將惡意代碼注入到受害者特定的TCP會話中，該會話是基于選擇器(selectors)進行注入的，比如前面提到的可持續追蹤cookie的技術。

在報告中提到：

“該注入得通過監控網絡流量，并且截獲HTTP請求做大量分析，最后才能實現的。當攻擊者需要監控某個目標時，攻擊設備將發送偽造的TCP數據包。為了將特制的偽造數據包注入到某個會話里，攻擊者需要事先了解該會話的內容。”

攻擊原理

攻擊設備會分析每個TCP包里的HTTP請求中的信息，然后對這些TCP包進行更改，所需要的信息有：

源/目的IP地址

源/目的端口

序列號/確認號

只有當合法WEB服務器響應之前，數據包被搶先成功注入到目標中，Quantum注入攻擊才算成功。也就是說，攻擊者可以扮演中間人，冒充WEB服務器的角色，從而黑掉目標。

檢測工具問世

專家小組發布了一套免費的開源工具，它可以根據數據大小的不同，檢測HTTP數據包的重復序列，從而可以查出是否存在Quantum注入攻擊。

Fox-IT表示：“如果我們檢測到不同payload的重復TCP數據包，或者是檢測TCP數據流里含有異常數據時，我們就可以查找出Quantum注入攻擊的痕跡。”

根據每個實體發出的Quantum注入攻擊，可以捕獲并操作受害者的流量，斯諾登曾經披露過一些情報機構(如英國的GCHQ)采用了該技術。

最近CitizenLab也揭秘了一個相類似的攻擊平臺——超級加農炮。

安全建議

HTTPS和HSTS的使用可以減少Quantum注入攻擊的危害，CDN也是個提升實施Quantum注入攻擊難度的法子。

Fox-IT已經創建了不少數據包捕獲檢測的工具，以此來檢測Quantum注入攻擊，GitHub上也已提供相應的代碼。