簡介
水坑攻擊(Watering hole)是一種計算機入侵手法,其針對的目標多為特定的團體(組織、行業、地區等)。攻擊者首先通過猜測(或觀察)確定這組目標經常訪問的網站,併入侵其中一個或多個,植入惡意軟體,最後,達到感染該組目標中部分成員的目的。
由於此種攻擊藉助了目標團體所信任的網站,攻擊成功率很高,即便是那些對魚叉攻擊或其他形式的釣魚攻擊具有防護能力的團體。
性質
水坑攻擊屬於APT攻擊的一種,與釣魚攻擊相比,黑客無需耗費精力製作釣魚網站,而是利用合法網站的弱點,隱蔽性比較強。在人們安全意識不斷加強的今天,黑客處心積慮地製作釣魚網站卻被有心人輕易識破,而水坑攻擊則利用了被攻擊者對網站的信任。水坑攻擊利用網站的弱點在其中植入攻擊代碼,攻擊代碼利用瀏覽器的缺陷,被攻擊者訪問網站時終端會被植入惡意程式或者直接被盜取個人重要信息。
水坑攻擊相對於通過社會工程方式引誘目標用戶訪問惡意網站更具欺騙性,效率也更高。水坑方法主要被用於有針對性的攻擊,而Adobe Reader、Java運行時環境(JRE)、Flash和IE中的零漏洞被用於安裝惡意軟體。
防禦技術
在瀏覽器或其他軟體上,通常會通過零日漏洞感染網站。針對已知漏洞的防禦措施是套用最新的軟體修補程式來消除允許該網站受到感染的漏洞。用戶監控可以幫助確保他們的所有軟體都運行最新版本。如果惡意內容被檢測到,公司可以監控他們的網站和網路,然後阻止流量。
示例
2012美國外交關係委員會
2012年12月,通過微軟Internet Explorer中的零日漏洞,發現外交關係委員會網站感染了惡意軟體。在此次攻擊中,惡意軟體僅部署給使用Internet Explorer設定為英語,中文,日語,韓語和俄語的用戶。
2013年美國勞工部
2013年初,攻擊者利用美國勞工部網站收集用戶信息。這次攻擊特別針對訪問與核相關內容的網頁的用戶。
2016波蘭銀行
2016年末,一家波蘭銀行在該機構的電腦上發現惡意軟體。據認為,這種惡意軟體的來源是Web伺服器的的波蘭金融監管局。由於這種黑客行為,沒有任何財務損失的報告。
2017 ExPetr攻擊
2017年6月,相信發源於烏克蘭的NotPetya(也稱為ExPetr)惡意軟體泄露了烏克蘭政府網站。該攻擊媒介是從網站上下載的用戶。惡意軟體擦除受害者硬碟的內容。
2017 Ccleaner攻擊
從2017年8月到9月,由供應商的下載伺服器分發的Ccleaner的安裝二進制檔案包含惡意軟體。Ccleaner是一種流行的工具,用於清除Windows計算機上可能存在的不需要的檔案,這些檔案被安全用戶廣泛使用。分發的安裝程式二進制檔案是用開發人員的證書籤名的,因此攻擊者可能會破壞開發或構建環境,並用它來插入惡意軟體。
