“水坑攻擊（Watering hole））”是攻擊者常見的攻擊方式之一，顧名思義，是在受害者必經(jīng)之路設(shè)置了一個“水坑（陷阱）”。最常見的做法是，攻擊者分析攻擊目標(biāo)的上網(wǎng)活動規(guī)律，尋找攻擊目標(biāo)經(jīng)常訪問的網(wǎng)站的弱點，先將此網(wǎng)站“攻破”并植入攻擊代碼，一旦攻擊目標(biāo)訪問該網(wǎng)站就會“中招”。

本文我們將介紹水坑攻擊的原理并結(jié)合一些真實的示例來說明攻擊過程，以及對應(yīng)的緩解措施。

什么是水坑攻擊？

水坑攻擊屬于APT攻擊的一種，與釣魚攻擊相比，攻擊者無需耗費精力制作釣魚網(wǎng)站，而是利用合法網(wǎng)站的弱點，隱蔽性比較強。在人們安全意識不斷加強的今天，攻擊者處心積慮地制作釣魚網(wǎng)站卻被有心人輕易識破，而水坑攻擊則利用了被攻擊者對網(wǎng)站的信任。水坑攻擊利用網(wǎng)站的弱點在其中植入攻擊代碼，攻擊代碼利用瀏覽器的缺陷，被攻擊者訪問網(wǎng)站時終端會被植入惡意程序或者直接被盜取個人重要信息。水坑攻擊相對于通過社會工程方式引誘目標(biāo)用戶訪問惡意網(wǎng)站更具欺騙性，效率也更高。水坑方法主要被用于有針對性的攻擊，而Adobe Reader、Java運行時環(huán)境（JRE）、Flash和IE中的零漏洞被用于安裝惡意軟件

歸根結(jié)底水坑攻擊采用的是一種社會工程技術(shù)，網(wǎng)絡(luò)攻擊者會發(fā)現(xiàn)并觀察目標(biāo)組織或公司的偏愛網(wǎng)站。然后，他們嘗試用惡意代碼感染這些站點，然后毫無戒心的用戶將通過這些受感染的鏈接之一成為受害者，例如下載等。網(wǎng)絡(luò)攻擊者還可能決定攻擊特定的IP地址，以發(fā)現(xiàn)他們正在尋找的某些信息。這意味著，水坑攻擊更難被檢測到。

例如，在我們的工作和個人在線日常生活中，我們習(xí)慣于定期使用一些網(wǎng)站，這些網(wǎng)站被描述為網(wǎng)絡(luò)安全詞典中的水坑。例如，如果你在銀行或金融科技領(lǐng)域工作，則可能會每天使用諸如The Banker，BBA，European Central Bank或Federal Reserve等網(wǎng)站。網(wǎng)絡(luò)攻擊者也知道這一點，并且已經(jīng)識別出這些完全相同的網(wǎng)站，了解如何利用我們對它們的信任。然后，就像掠食者在水坑里等著動物一樣，等待著一個毫無戒心的員工。

水坑攻擊的技巧

當(dāng)我們在互聯(lián)網(wǎng)上出于個人或商業(yè)目的進行搜索時，絕大多數(shù)人會不自覺地提供跟蹤信息。該跟蹤信息使網(wǎng)絡(luò)攻擊者能夠?qū)δ繕?biāo)目標(biāo)受害者的網(wǎng)絡(luò)行為進行描繪，并提供有關(guān)其公司和組織的安全協(xié)議、策略、訪問和云服務(wù)的其他重要信息。

一旦網(wǎng)絡(luò)攻擊者建立了個人最喜歡的，可信賴的網(wǎng)站和信息源，他們就會調(diào)查自己的漏洞，以及如何最好地利用這些漏洞來達到他們不正當(dāng)?shù)哪康?。然后，他們開始將惡意Javascript或HTML代碼插入到你最常訪問和信任的網(wǎng)站中，或者在發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞后重新創(chuàng)建異常相似的非法網(wǎng)站。然后，將目標(biāo)用戶重定向到這些偽造的，受感染的網(wǎng)站，在這些網(wǎng)站中，惡意軟件或惡意軟件正等待將其與后續(xù)的網(wǎng)絡(luò)釣魚和勒索軟件攻擊掛鉤。后果可能是破壞性的數(shù)據(jù)破壞，造成數(shù)百萬美元的損失，并給相關(guān)公司或組織帶來許多負(fù)面的公關(guān)和不良的品牌知名度。

水坑攻擊的現(xiàn)實例子

（1） 2012的美國外交關(guān)系委員會事件

2012年12月，通過微軟Internet Explorer中的零日漏洞，發(fā)現(xiàn)外交關(guān)系委員會網(wǎng)站感染了惡意軟件。在此次攻擊中，惡意軟件僅部署給使用Internet Explorer設(shè)置為英語，中文，日語，韓語和俄語的用戶。

（2） 2013年的美國勞工部事件

2013年初，攻擊者利用美國勞工部網(wǎng)站收集用戶信息。這次攻擊特別針對訪問與核相關(guān)內(nèi)容的網(wǎng)頁的用戶。

（3） 2013年的VOHO事件

在此事件中，網(wǎng)絡(luò)攻擊者將注意力集中在特定地理區(qū)域內(nèi)的合法網(wǎng)站上，他們認(rèn)為他們想要攻擊和利用的組織經(jīng)常光顧。目標(biāo)組織的用戶訪問了偽造的水坑網(wǎng)站，然后通過惡意Javascript鏈接將其重定向到漏洞利用站點。在安裝“gh0st RAT”（一種遠程訪問木馬）以監(jiān)控該組織收集情報的相關(guān)區(qū)域之前，該系統(tǒng)會檢查受害者電腦的Windows操作系統(tǒng)和Internet Explorer，RAT惡意軟件還可能暗中感染并操作網(wǎng)絡(luò)攝像頭和麥克風(fēng)。

人們發(fā)現(xiàn)，在這次攻擊中，馬薩諸塞州和華盛頓特區(qū)與金融和技術(shù)有關(guān)的網(wǎng)站受到影響。據(jù)報道，超過32000位用戶訪問了“水坑”站點，影響到州、聯(lián)邦、教育機構(gòu)、國防和科技部門的4000個組織。

（4） 2015年的福布斯事件

2015年，F(xiàn)orbes.com被攻擊，攻擊者利用了Microsoft 互聯(lián)網(wǎng) Explorer和Adobe Flash中現(xiàn)有的零日漏洞來創(chuàng)建福布斯“每日想法”功能的惡意版本。每當(dāng)有人訪問Forbes.com的頁面時，都會加載Flash Widget，然后只要設(shè)備在活動運行期間進行訪問，就會對擁有易受攻擊設(shè)備的任何人造成影響。這場水坑攻擊特別針對國防和金融服務(wù)行業(yè)。

（5） 2017 ExPetr攻擊事件

2017年6月，相信發(fā)源于烏克蘭的NotPetya（也稱為ExPetr）惡意軟件泄露了烏克蘭政府網(wǎng)站。該攻擊媒介是從網(wǎng)站上下載的用戶。惡意軟件擦除受害者硬盤的內(nèi)容。

（6） 2017 Ccleaner攻擊事件

從2017年8月到9月，由供應(yīng)商的下載服務(wù)器分發(fā)的Ccleaner的安裝二進制文件包含惡意軟件。Ccleaner是一種流行的工具，用于清除Windows計算機上可能存在的不需要的文件，這些文件被安全用戶廣泛使用。分發(fā)的安裝程序二進制文件是用開發(fā)人員的證書簽名的，因此攻擊者可能會破壞開發(fā)或構(gòu)建環(huán)境，并用它來插入惡意軟件。

銀行是水坑攻擊最喜歡的目標(biāo)

2016年末，一家波蘭銀行在該機構(gòu)的電腦上發(fā)現(xiàn)惡意軟件。據(jù)認(rèn)為，這種惡意軟件的來源是Web服務(wù)器的的波蘭金融監(jiān)管局。由于這種黑客行為，沒有任何財務(wù)損失的報告。

2017年初，從波蘭到烏拉圭和墨西哥的世界各地的銀行和金融機構(gòu)都是一系列水坑攻擊的受害者。他們希望誘騙無辜的、值得信賴的受害者。網(wǎng)站被發(fā)現(xiàn)受到了一段代碼的攻擊，該代碼會從其他被攻破的域名發(fā)起毀滅性的惡意Javascript文件，這些域名托管利用Silverlight和Flash傳播惡意軟件的開發(fā)工具。

如何防御水坑攻擊

為了應(yīng)對水坑攻擊，公司和組織可以采取多種預(yù)防措施，以充分保護自己免受將來的惡意攻擊。

定期檢查員工訪問量最大的網(wǎng)站是否存在惡意軟件;

阻止訪問你發(fā)現(xiàn)的所有受感染站點;

設(shè)置瀏覽器和工具，以利用網(wǎng)站信譽讓用戶知道不良網(wǎng)站;

在允許你的員工訪問這些站點之前，請檢查所有來自第三方和外部站點的所有流量并進行驗證;

為了幫助進行驗證并增強網(wǎng)絡(luò)安全狀況，建議你采用包括威脅檢測在內(nèi)的多種方法。
責(zé)編AJX