您所在的位置: 首頁 >
新聞資訊 >
威脅情報(bào) >
水坑攻擊的原理和預(yù)防措施
“水坑攻擊(Watering hole))”是攻擊者常見的攻擊方式之一,顧名思義,是在受害者必經(jīng)之路設(shè)置了一個(gè)“水坑(陷阱)”。最常見的做法是,攻擊者分析攻擊目標(biāo)的上網(wǎng)活動(dòng)規(guī)律,尋找攻擊目標(biāo)經(jīng)常訪問的網(wǎng)站的弱點(diǎn),先將此網(wǎng)站“攻破”并植入攻擊代碼,一旦攻擊目標(biāo)訪問該網(wǎng)站就會(huì)“中招”。
本文我們將介紹水坑攻擊的原理并結(jié)合一些真實(shí)的示例來說明攻擊過程,以及對(duì)應(yīng)的緩解措施。
什么是水坑攻擊?
水坑攻擊屬于APT攻擊的一種,與釣魚攻擊相比,攻擊者無需耗費(fèi)精力制作釣魚網(wǎng)站,而是利用合法網(wǎng)站的弱點(diǎn),隱蔽性比較強(qiáng)。在人們安全意識(shí)不斷加強(qiáng)的今天,攻擊者處心積慮地制作釣魚網(wǎng)站卻被有心人輕易識(shí)破,而水坑攻擊則利用了被攻擊者對(duì)網(wǎng)站的信任。水坑攻擊利用網(wǎng)站的弱點(diǎn)在其中植入攻擊代碼,攻擊代碼利用瀏覽器的缺陷,被攻擊者訪問網(wǎng)站時(shí)終端會(huì)被植入惡意程序或者直接被盜取個(gè)人重要信息。水坑攻擊相對(duì)于通過社會(huì)工程方式引誘目標(biāo)用戶訪問惡意網(wǎng)站更具欺騙性,效率也更高。水坑方法主要被用于有針對(duì)性的攻擊,而Adobe Reader、Java運(yùn)行時(shí)環(huán)境(JRE)、Flash和IE中的零漏洞被用于安裝惡意軟件。
歸根結(jié)底水坑攻擊采用的是一種社會(huì)工程技術(shù),網(wǎng)絡(luò)攻擊者會(huì)發(fā)現(xiàn)并觀察目標(biāo)組織或公司的偏愛網(wǎng)站。然后,他們嘗試用惡意代碼感染這些站點(diǎn),然后毫無戒心的用戶將通過這些受感染的鏈接之一成為受害者,例如下載等。網(wǎng)絡(luò)攻擊者還可能決定攻擊特定的IP地址,以發(fā)現(xiàn)他們正在尋找的某些信息。這意味著,水坑攻擊更難被檢測(cè)到。
例如,在我們的工作和個(gè)人在線日常生活中,我們習(xí)慣于定期使用一些網(wǎng)站,這些網(wǎng)站被描述為網(wǎng)絡(luò)安全詞典中的水坑。例如,如果你在銀行或金融科技領(lǐng)域工作,則可能會(huì)每天使用諸如The Banker,BBA,European Central Bank或Federal Reserve等網(wǎng)站。網(wǎng)絡(luò)攻擊者也知道這一點(diǎn),并且已經(jīng)識(shí)別出這些完全相同的網(wǎng)站,了解如何利用我們對(duì)它們的信任。然后,就像掠食者在水坑里等著動(dòng)物一樣,等待著一個(gè)毫無戒心的員工。
水坑攻擊的技巧
當(dāng)我們?cè)诨ヂ?lián)網(wǎng)上出于個(gè)人或商業(yè)目的進(jìn)行搜索時(shí),絕大多數(shù)人會(huì)不自覺地提供跟蹤信息。該跟蹤信息使網(wǎng)絡(luò)攻擊者能夠?qū)δ繕?biāo)目標(biāo)受害者的網(wǎng)絡(luò)行為進(jìn)行描繪,并提供有關(guān)其公司和組織的安全協(xié)議、策略、訪問和云服務(wù)的其他重要信息。
一旦網(wǎng)絡(luò)攻擊者建立了個(gè)人最喜歡的,可信賴的網(wǎng)站和信息源,他們就會(huì)調(diào)查自己的漏洞,以及如何最好地利用這些漏洞來達(dá)到他們不正當(dāng)?shù)哪康?。然后,他們開始將惡意Javascript或HTML代碼插入到你最常訪問和信任的網(wǎng)站中,或者在發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞后重新創(chuàng)建異常相似的非法網(wǎng)站。然后,將目標(biāo)用戶重定向到這些偽造的,受感染的網(wǎng)站,在這些網(wǎng)站中,惡意軟件或惡意軟件正等待將其與后續(xù)的網(wǎng)絡(luò)釣魚和勒索軟件攻擊掛鉤。后果可能是破壞性的數(shù)據(jù)破壞,造成數(shù)百萬美元的損失,并給相關(guān)公司或組織帶來許多負(fù)面的公關(guān)和不良的品牌知名度。
水坑攻擊的現(xiàn)實(shí)例子
2012的美國(guó)外交關(guān)系委員會(huì)事件
2012年12月,通過微軟Internet Explorer中的零日漏洞,發(fā)現(xiàn)外交關(guān)系委員會(huì)網(wǎng)站感染了惡意軟件。在此次攻擊中,惡意軟件僅部署給使用Internet Explorer設(shè)置為英語,中文,日語,韓語和俄語的用戶。
2013年的美國(guó)勞工部事件
2013年初,攻擊者利用美國(guó)勞工部網(wǎng)站收集用戶信息。這次攻擊特別針對(duì)訪問與核相關(guān)內(nèi)容的網(wǎng)頁的用戶。
2013年的VOHO事件
在此事件中,網(wǎng)絡(luò)攻擊者將注意力集中在特定地理區(qū)域內(nèi)的合法網(wǎng)站上,他們認(rèn)為他們想要攻擊和利用的組織經(jīng)常光顧。目標(biāo)組織的用戶訪問了偽造的水坑網(wǎng)站,然后通過惡意Javascript鏈接將其重定向到漏洞利用站點(diǎn)。在安裝“gh0st RAT”(一種遠(yuǎn)程訪問木馬)以監(jiān)控該組織收集情報(bào)的相關(guān)區(qū)域之前,該系統(tǒng)會(huì)檢查受害者電腦的Windows操作系統(tǒng)和Internet Explorer,RAT惡意軟件還可能暗中感染并操作網(wǎng)絡(luò)攝像頭和麥克風(fēng)。
人們發(fā)現(xiàn),在這次攻擊中,馬薩諸塞州和華盛頓特區(qū)與金融和技術(shù)有關(guān)的網(wǎng)站受到影響。據(jù)報(bào)道,超過32000位用戶訪問了“水坑”站點(diǎn),影響到州、聯(lián)邦、教育機(jī)構(gòu)、國(guó)防和科技部門的4000個(gè)組織。
2015年的福布斯事件
2015年,F(xiàn)orbes.com被攻擊,攻擊者利用了Microsoft 互聯(lián)網(wǎng) Explorer和Adobe Flash中現(xiàn)有的零日漏洞來創(chuàng)建福布斯“每日想法”功能的惡意版本。每當(dāng)有人訪問Forbes.com的頁面時(shí),都會(huì)加載Flash Widget,然后只要設(shè)備在活動(dòng)運(yùn)行期間進(jìn)行訪問,就會(huì)對(duì)擁有易受攻擊設(shè)備的任何人造成影響。這場(chǎng)水坑攻擊特別針對(duì)國(guó)防和金融服務(wù)行業(yè)。
2017 ExPetr攻擊事件
2017年6月,相信發(fā)源于烏克蘭的NotPetya(也稱為ExPetr)惡意軟件泄露了烏克蘭政府網(wǎng)站。該攻擊媒介是從網(wǎng)站上下載的用戶。惡意軟件擦除受害者硬盤的內(nèi)容。
2017 Ccleaner攻擊事件
從2017年8月到9月,由供應(yīng)商的下載服務(wù)器分發(fā)的Ccleaner的安裝二進(jìn)制文件包含惡意軟件。Ccleaner是一種流行的工具,用于清除Windows計(jì)算機(jī)上可能存在的不需要的文件,這些文件被安全用戶廣泛使用。分發(fā)的安裝程序二進(jìn)制文件是用開發(fā)人員的證書簽名的,因此攻擊者可能會(huì)破壞開發(fā)或構(gòu)建環(huán)境,并用它來插入惡意軟件。
銀行是水坑攻擊最喜歡的目標(biāo)
2016年末,一家波蘭銀行在該機(jī)構(gòu)的電腦上發(fā)現(xiàn)惡意軟件。據(jù)認(rèn)為,這種惡意軟件的來源是Web服務(wù)器的的波蘭金融監(jiān)管局。由于這種黑客行為,沒有任何財(cái)務(wù)損失的報(bào)告。
2017年初,從波蘭到烏拉圭和墨西哥的世界各地的銀行和金融機(jī)構(gòu)都是一系列水坑攻擊的受害者。他們希望誘騙無辜的、值得信賴的受害者。網(wǎng)站被發(fā)現(xiàn)受到了一段代碼的攻擊,該代碼會(huì)從其他被攻破的域名發(fā)起毀滅性的惡意Javascript文件,這些域名托管利用Silverlight和Flash傳播惡意軟件的開發(fā)工具。
如何防御水坑攻擊
為了應(yīng)對(duì)水坑攻擊,公司和組織可以采取多種預(yù)防措施,以充分保護(hù)自己免受將來的惡意攻擊。
1. 定期檢查員工訪問量最大的網(wǎng)站是否存在惡意軟件;
2. 阻止訪問你發(fā)現(xiàn)的所有受感染站點(diǎn);
3. 設(shè)置瀏覽器和工具,以利用網(wǎng)站信譽(yù)讓用戶知道不良網(wǎng)站;
4. 在允許你的員工訪問這些站點(diǎn)之前,請(qǐng)檢查所有來自第三方和外部站點(diǎn)的所有流量并進(jìn)行驗(yàn)證;
5. 為了幫助進(jìn)行驗(yàn)證并增強(qiáng)網(wǎng)絡(luò)安全狀況,建議你采用包括威脅檢測(cè)在內(nèi)的多種方法。
參考及來源:
https://www.vice.com/en_us/article/dyzewz/hackers-leak-alleged-internal-files-of-chinese-social-media-monitoring-firms