“水坑(Wateringhole))”是攻击者常用的攻击手段之一。顾名思义,就是设置一个“水坑(陷阱)”。最常见的方法是攻击者分析攻击目标的在线活动,发现攻击目标经常访问的网站的弱点,首先“破解”该网站并植入攻击代码,一旦攻击目标访问该网站,他将被“击中”。在本文中,我们将介绍水坑攻击的原理,并结合一些实例来说明攻击过程,以及相应的缓解措施。什么是水坑攻击?水坑攻击是APT攻击的一种,与钓鱼攻击相比,攻击者不需要花费精力去创建钓鱼网站,而是利用合法网站的弱点,隐蔽性更强。在人们安全意识不断提升的今天越来越多的攻击者故意创建钓鱼网站,但很容易被有意者发现,水坑攻击利用了被攻击网站的信任。环洞攻击利用网站的弱点在其中植入攻击代码。攻击代码利用了浏览器的缺陷。受害人访问网站时,终端会被植入恶意程序或直接窃取重要个人信息。水坑攻击比社会工程学更具欺骗性和效率,可以引诱目标用户访问恶意网站。水坑法多用于针对性攻击,AdobeReader、JavaRuntimeEnvironment(JRE)、Flash、IE零漏洞用于安装恶意软件目标组织或公司的网站。然后他们试图用恶意代码感染这些网站,然后毫无戒心的用户将通过这些受感染的链接之一(如下载等)成为受害者。网络攻击者还可能决定攻击特定的IP地址以发现他们正在寻找的某些信息。这意味着水坑攻击更难检测。例如,在我们的工作和个人在线日常生活中,我们习惯于定期使用在网络安全词典中被描述为水坑的网站。例如,如果您在银行业或金融科技行业工作,您可能每天都会使用TheBanker、BBA、欧洲中央银行或美联储等网站。网络攻击者也知道这一点,并且已经确定了这些相同的站点并学会了如何利用我们对它们的信任。然后,就像捕食者在水坑里等待动物一样,毫无戒心的员工也在等待。水坑攻击技术当我们出于个人或商业目的搜索Internet时,我们中的绝大多数人都会不自觉地提供跟踪信息。此跟踪信息允许网络攻击者绘制目标受害者的网络行为图,并提供有关其公司和组织的安全协议、策略、访问和云服务的其他重要信息。一旦网络攻击者建立了个人最喜欢的、可信的网站和信息源,他们就会调查自己的漏洞以及如何最好地利用这些漏洞来达到他们的非法目的。然后,他们开始将恶意Javascript或HTML代码插入您最常访问和信任的网站,或者在发现网络安全漏洞后重新创建看起来非常相似的非法网站。然后,目标用户将被重定向到这些虚假的、受感染的网站,恶意软件或恶意软件正等待将他们挂钩到随后的网络钓鱼和勒索软件攻击中。后果可能是毁灭性的数据泄露,造成数百万美元的损失,并给相关公司或组织带来大量负面公关和不良品牌知名度。水坑攻击的真实案例(一)2012年美国对外关系委员会事件2012年12月,通过MicrosoftInternetExplorer的零日漏洞,发现美国对外关系委员会网站被恶意软件感染。在这次攻击中,恶意软件只部署到InternetExplorer设置为英语、中文、日语、韩语和俄语的用户。(二)2013年美国劳工部事件2013年初,攻击者利用美国劳工部网站收集用户信息。该攻击专门针对访问包含核相关内容的网页的用户。(3)2013年VOHO事件在该事件中,网络攻击者将注意力集中在特定地理区域内的合法网站上,他们认为这些网站是他们想要攻击和利用的组织经常光顾的网站。目标组织的用户访问了虚假的水坑网站,然后通过恶意Javascript链接将其重定向到漏洞利用站点。该系统会在安装“gh0stRAT”(一种远程访问木马)之前检查受害者计算机的Windows操作系统和InternetExplorer,以监视该组织收集情报的区域。RAT恶意软件还可能感染并暗中操作网络摄像头和麦克风。在此次攻击中,马萨诸塞州和华盛顿特区发现与金融和科技相关的网站受到影响。据报道,超过32,000名用户访问了“水坑”网站,影响了州、联邦、教育机构、国防和技术部门的4,000家组织。(4)2015年福布斯事件2015年,福布斯网站遭到黑客攻击,攻击者利用MicrosoftInternetExplorer和AdobeFlash中存在的零日漏洞,制作了福布斯“每日一思”功能的恶意版本。每当有人访问Forbes.com页面时,FlashWidget就会加载,然后影响任何拥有易受攻击设备的人,只要在活动运行期间访问该设备即可。这次水坑攻击专门针对国防和金融服务行业。(5)2017ExPetr攻击2017年6月,据信起源于乌克兰的NotPetya(也称为ExPetr)恶意软件泄露了乌克兰政府网站。攻击媒介是用户从网站下载。恶意软件擦除受害者硬盘的内容。(6)2017年Ccleaner攻击事件2017年8月至9月,厂商下载服务器分发的Ccleaner安装二进制文件中含有恶意软件。Ccleaner是一种流行的工具,用于清除Windows计算机上可能存在的不需要的文件,并被安全用户广泛使用。分布式安装程序二进制文件使用开发人员的证书进行签名,因此攻击者可以破坏开发或构建环境并使用它来插入恶意软件。银行是水坑攻击最喜欢的目标2016年底,一家波兰银行在该机构的计算机上发现了恶意软件。据信,该恶意软件的来源是波兰金融监管局的网络服务器。目前还没有关于此次黑客攻击造成任何经济损失的报告。2017年初,从波兰到乌拉圭和墨西哥,世界各地的银行和金融机构成为一系列水坑攻击的受害者。他们希望引诱无辜、值得信赖的受害者。网站被发现受到一段代码的损害,该代码从其他受感染的域启动破坏性的恶意Javascript文件,这些域托管利用Silverlight和Flash传播恶意软件的开发工具。如何防御水坑攻击为了应对水坑攻击,公司和组织可以采取多种预防措施来充分保护自己免受未来的恶意攻击。定期检查您的员工最常访问的网站是否存在恶意软件;阻止访问您发现的任何受感染网站;设置浏览器和工具以使用网站信誉让用户了解不良网站;检查和验证来自第三方和外部站点的所有流量;为帮助验证并增强您的网络安全状况,建议您采用多种方法,包括威胁检测。本文翻译自:https://www.vice.com/en_us/article/dyzewz/hackers-leak-alleged-internal-files-of-chinese-social-media-monitoring-firms
