“水坑攻擊（Watering hole））”是攻擊者常見(jiàn)的攻擊方式之一，顧名思義，是在受害者必經(jīng)之路設(shè)置了一個(gè)“水坑（陷阱）”。最常見(jiàn)的做法是，攻擊者分析攻擊目標(biāo)的上網(wǎng)活動(dòng)規(guī)律，尋找攻擊目標(biāo)經(jīng)常訪問(wèn)的網(wǎng)站的弱點(diǎn)，先將此網(wǎng)站“攻破”并植入攻擊代碼，一旦攻擊目標(biāo)訪問(wèn)該網(wǎng)站就會(huì)“中招”。

本文我們將介紹水坑攻擊的原理并結(jié)合一些真實(shí)的示例來(lái)說(shuō)明攻擊過(guò)程，以及對(duì)應(yīng)的緩解措施。

什么是水坑攻擊？

水坑攻擊屬于APT攻擊的一種，與釣魚(yú)攻擊相比，攻擊者無(wú)需耗費(fèi)精力制作釣魚(yú)網(wǎng)站，而是利用合法網(wǎng)站的弱點(diǎn)，隱蔽性比較強(qiáng)。在人們安全意識(shí)不斷加強(qiáng)的今天，攻擊者處心積慮地制作釣魚(yú)網(wǎng)站卻被有心人輕易識(shí)破，而水坑攻擊則利用了被攻擊者對(duì)網(wǎng)站的信任。水坑攻擊利用網(wǎng)站的弱點(diǎn)在其中植入攻擊代碼，攻擊代碼利用瀏覽器的缺陷，被攻擊者訪問(wèn)網(wǎng)站時(shí)終端會(huì)被植入惡意程序或者直接被盜取個(gè)人重要信息。水坑攻擊相對(duì)于通過(guò)社會(huì)工程方式引誘目標(biāo)用戶(hù)訪問(wèn)惡意網(wǎng)站更具欺騙性，效率也更高。水坑方法主要被用于有針對(duì)性的攻擊，而Adobe Reader、Java運(yùn)行時(shí)環(huán)境（JRE）、Flash和IE中的零漏洞被用于安裝惡意軟件

歸根結(jié)底水坑攻擊采用的是一種社會(huì)工程技術(shù)，網(wǎng)絡(luò)攻擊者會(huì)發(fā)現(xiàn)并觀察目標(biāo)組織或公司的偏愛(ài)網(wǎng)站。然后，他們嘗試用惡意代碼感染這些站點(diǎn)，然后毫無(wú)戒心的用戶(hù)將通過(guò)這些受感染的鏈接之一成為受害者，例如下載等。網(wǎng)絡(luò)攻擊者還可能決定攻擊特定的IP地址，以發(fā)現(xiàn)他們正在尋找的某些信息。這意味著，水坑攻擊更難被檢測(cè)到。

例如，在我們的工作和個(gè)人在線日常生活中，我們習(xí)慣于定期使用一些網(wǎng)站，這些網(wǎng)站被描述為網(wǎng)絡(luò)安全詞典中的水坑。例如，如果你在銀行或金融科技領(lǐng)域工作，則可能會(huì)每天使用諸如The Banker，BBA，European Central Bank或Federal Reserve等網(wǎng)站。網(wǎng)絡(luò)攻擊者也知道這一點(diǎn)，并且已經(jīng)識(shí)別出這些完全相同的網(wǎng)站，了解如何利用我們對(duì)它們的信任。然后，就像掠食者在水坑里等著動(dòng)物一樣，等待著一個(gè)毫無(wú)戒心的員工。

水坑攻擊的技巧

當(dāng)我們?cè)诨ヂ?lián)網(wǎng)上出于個(gè)人或商業(yè)目的進(jìn)行搜索時(shí)，絕大多數(shù)人會(huì)不自覺(jué)地提供跟蹤信息。該跟蹤信息使網(wǎng)絡(luò)攻擊者能夠?qū)δ繕?biāo)目標(biāo)受害者的網(wǎng)絡(luò)行為進(jìn)行描繪，并提供有關(guān)其公司和組織的安全協(xié)議、策略、訪問(wèn)和云服務(wù)的其他重要信息。

一旦網(wǎng)絡(luò)攻擊者建立了個(gè)人最喜歡的，可信賴(lài)的網(wǎng)站和信息源，他們就會(huì)調(diào)查自己的漏洞，以及如何最好地利用這些漏洞來(lái)達(dá)到他們不正當(dāng)?shù)哪康摹Ｈ缓螅麄冮_(kāi)始將惡意Javascript或HTML代碼插入到你最常訪問(wèn)和信任的網(wǎng)站中，或者在發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞后重新創(chuàng)建異常相似的非法網(wǎng)站。然后，將目標(biāo)用戶(hù)重定向到這些偽造的，受感染的網(wǎng)站，在這些網(wǎng)站中，惡意軟件或惡意軟件正等待將其與后續(xù)的網(wǎng)絡(luò)釣魚(yú)和勒索軟件攻擊掛鉤。后果可能是破壞性的數(shù)據(jù)破壞，造成數(shù)百萬(wàn)美元的損失，并給相關(guān)公司或組織帶來(lái)許多負(fù)面的公關(guān)和不良的品牌知名度。

水坑攻擊的現(xiàn)實(shí)例子

（1） 2012的美國(guó)外交關(guān)系委員會(huì)事件

2012年12月，通過(guò)微軟Internet Explorer中的零日漏洞，發(fā)現(xiàn)外交關(guān)系委員會(huì)網(wǎng)站感染了惡意軟件。在此次攻擊中，惡意軟件僅部署給使用Internet Explorer設(shè)置為英語(yǔ)，中文，日語(yǔ)，韓語(yǔ)和俄語(yǔ)的用戶(hù)。

（2） 2013年的美國(guó)勞工部事件

2013年初，攻擊者利用美國(guó)勞工部網(wǎng)站收集用戶(hù)信息。這次攻擊特別針對(duì)訪問(wèn)與核相關(guān)內(nèi)容的網(wǎng)頁(yè)的用戶(hù)。

（3） 2013年的VOHO事件

在此事件中，網(wǎng)絡(luò)攻擊者將注意力集中在特定地理區(qū)域內(nèi)的合法網(wǎng)站上，他們認(rèn)為他們想要攻擊和利用的組織經(jīng)常光顧。目標(biāo)組織的用戶(hù)訪問(wèn)了偽造的水坑網(wǎng)站，然后通過(guò)惡意Javascript鏈接將其重定向到漏洞利用站點(diǎn)。在安裝“gh0st RAT”（一種遠(yuǎn)程訪問(wèn)木馬）以監(jiān)控該組織收集情報(bào)的相關(guān)區(qū)域之前，該系統(tǒng)會(huì)檢查受害者電腦的Windows操作系統(tǒng)和Internet Explorer，RAT惡意軟件還可能暗中感染并操作網(wǎng)絡(luò)攝像頭和麥克風(fēng)。

人們發(fā)現(xiàn)，在這次攻擊中，馬薩諸塞州和華盛頓特區(qū)與金融和技術(shù)有關(guān)的網(wǎng)站受到影響。據(jù)報(bào)道，超過(guò)32000位用戶(hù)訪問(wèn)了“水坑”站點(diǎn)，影響到州、聯(lián)邦、教育機(jī)構(gòu)、國(guó)防和科技部門(mén)的4000個(gè)組織。

（4） 2015年的福布斯事件

2015年，F(xiàn)orbes.com被攻擊，攻擊者利用了Microsoft 互聯(lián)網(wǎng) Explorer和Adobe Flash中現(xiàn)有的零日漏洞來(lái)創(chuàng)建福布斯“每日想法”功能的惡意版本。每當(dāng)有人訪問(wèn)Forbes.com的頁(yè)面時(shí)，都會(huì)加載Flash Widget，然后只要設(shè)備在活動(dòng)運(yùn)行期間進(jìn)行訪問(wèn)，就會(huì)對(duì)擁有易受攻擊設(shè)備的任何人造成影響。這場(chǎng)水坑攻擊特別針對(duì)國(guó)防和金融服務(wù)行業(yè)。

（5） 2017 ExPetr攻擊事件

2017年6月，相信發(fā)源于烏克蘭的NotPetya（也稱(chēng)為ExPetr）惡意軟件泄露了烏克蘭政府網(wǎng)站。該攻擊媒介是從網(wǎng)站上下載的用戶(hù)。惡意軟件擦除受害者硬盤(pán)的內(nèi)容。

（6） 2017 Ccleaner攻擊事件

從2017年8月到9月，由供應(yīng)商的下載服務(wù)器分發(fā)的Ccleaner的安裝二進(jìn)制文件包含惡意軟件。Ccleaner是一種流行的工具，用于清除Windows計(jì)算機(jī)上可能存在的不需要的文件，這些文件被安全用戶(hù)廣泛使用。分發(fā)的安裝程序二進(jìn)制文件是用開(kāi)發(fā)人員的證書(shū)簽名的，因此攻擊者可能會(huì)破壞開(kāi)發(fā)或構(gòu)建環(huán)境，并用它來(lái)插入惡意軟件。

銀行是水坑攻擊最喜歡的目標(biāo)

2016年末，一家波蘭銀行在該機(jī)構(gòu)的電腦上發(fā)現(xiàn)惡意軟件。據(jù)認(rèn)為，這種惡意軟件的來(lái)源是Web服務(wù)器的的波蘭金融監(jiān)管局。由于這種黑客行為，沒(méi)有任何財(cái)務(wù)損失的報(bào)告。

2017年初，從波蘭到烏拉圭和墨西哥的世界各地的銀行和金融機(jī)構(gòu)都是一系列水坑攻擊的受害者。他們希望誘騙無(wú)辜的、值得信賴(lài)的受害者。網(wǎng)站被發(fā)現(xiàn)受到了一段代碼的攻擊，該代碼會(huì)從其他被攻破的域名發(fā)起毀滅性的惡意Javascript文件，這些域名托管利用Silverlight和Flash傳播惡意軟件的開(kāi)發(fā)工具。

如何防御水坑攻擊

為了應(yīng)對(duì)水坑攻擊，公司和組織可以采取多種預(yù)防措施，以充分保護(hù)自己免受將來(lái)的惡意攻擊。

定期檢查員工訪問(wèn)量最大的網(wǎng)站是否存在惡意軟件;

阻止訪問(wèn)你發(fā)現(xiàn)的所有受感染站點(diǎn);

設(shè)置瀏覽器和工具，以利用網(wǎng)站信譽(yù)讓用戶(hù)知道不良網(wǎng)站;

在允許你的員工訪問(wèn)這些站點(diǎn)之前，請(qǐng)檢查所有來(lái)自第三方和外部站點(diǎn)的所有流量并進(jìn)行驗(yàn)證;

為了幫助進(jìn)行驗(yàn)證并增強(qiáng)網(wǎng)絡(luò)安全狀況，建議你采用包括威脅檢測(cè)在內(nèi)的多種方法。
責(zé)編AJX