水坑攻擊的原理并結合真實例子來說明攻擊過程，及對應的緩解措施

“水坑攻擊（Watering hole））”是攻擊者常見的攻擊方式之一，顧名思義，是在受害者必經之路設置了一個“水坑（陷阱）”。最常見的做法是，攻擊者分析攻擊目標的上網活動規(guī)律，尋找攻擊目標經常訪問的網站的弱點，先將此網站“攻破”并植入攻擊代碼，一旦攻擊目標訪問該網站就會“中招”。

本文我們將介紹水坑攻擊的原理并結合一些真實的示例來說明攻擊過程，以及對應的緩解措施。

什么是水坑攻擊？

水坑攻擊屬于APT攻擊的一種，與釣魚攻擊相比，攻擊者無需耗費精力制作釣魚網站，而是利用合法網站的弱點，隱蔽性比較強。在人們安全意識不斷加強的今天，攻擊者處心積慮地制作釣魚網站卻被有心人輕易識破，而水坑攻擊則利用了被攻擊者對網站的信任。水坑攻擊利用網站的弱點在其中植入攻擊代碼，攻擊代碼利用瀏覽器的缺陷，被攻擊者訪問網站時終端會被植入惡意程序或者直接被盜取個人重要信息。水坑攻擊相對于通過社會工程方式引誘目標用戶訪問惡意網站更具欺騙性，效率也更高。水坑方法主要被用于有針對性的攻擊，而Adobe Reader、Java運行時環(huán)境（JRE）、Flash和IE中的零漏洞被用于安裝惡意軟件

歸根結底水坑攻擊采用的是一種社會工程技術，網絡攻擊者會發(fā)現(xiàn)并觀察目標組織或公司的偏愛網站。然后，他們嘗試用惡意代碼感染這些站點，然后毫無戒心的用戶將通過這些受感染的鏈接之一成為受害者，例如下載等。網絡攻擊者還可能決定攻擊特定的IP地址，以發(fā)現(xiàn)他們正在尋找的某些信息。這意味著，水坑攻擊更難被檢測到。

例如，在我們的工作和個人在線日常生活中，我們習慣于定期使用一些網站，這些網站被描述為網絡安全詞典中的水坑。例如，如果你在銀行或金融科技領域工作，則可能會每天使用諸如The Banker，BBA，European Central Bank或Federal Reserve等網站。網絡攻擊者也知道這一點，并且已經識別出這些完全相同的網站，了解如何利用我們對它們的信任。然后，就像掠食者在水坑里等著動物一樣，等待著一個毫無戒心的員工。

水坑攻擊的技巧

當我們在互聯(lián)網上出于個人或商業(yè)目的進行搜索時，絕大多數(shù)人會不自覺地提供跟蹤信息。該跟蹤信息使網絡攻擊者能夠對目標目標受害者的網絡行為進行描繪，并提供有關其公司和組織的安全協(xié)議、策略、訪問和云服務的其他重要信息。

一旦網絡攻擊者建立了個人最喜歡的，可信賴的網站和信息源，他們就會調查自己的漏洞，以及如何最好地利用這些漏洞來達到他們不正當?shù)哪康摹Ｈ缓?，他們開始將惡意Javascript或HTML代碼插入到你最常訪問和信任的網站中，或者在發(fā)現(xiàn)網絡安全漏洞后重新創(chuàng)建異常相似的非法網站。然后，將目標用戶重定向到這些偽造的，受感染的網站，在這些網站中，惡意軟件或惡意軟件正等待將其與后續(xù)的網絡釣魚和勒索軟件攻擊掛鉤。后果可能是破壞性的數(shù)據(jù)破壞，造成數(shù)百萬美元的損失，并給相關公司或組織帶來許多負面的公關和不良的品牌知名度。

水坑攻擊的現(xiàn)實例子

（1） 2012的美國外交關系委員會事件

2012年12月，通過微軟Internet Explorer中的零日漏洞，發(fā)現(xiàn)外交關系委員會網站感染了惡意軟件。在此次攻擊中，惡意軟件僅部署給使用Internet Explorer設置為英語，中文，日語，韓語和俄語的用戶。

（2） 2013年的美國勞工部事件

2013年初，攻擊者利用美國勞工部網站收集用戶信息。這次攻擊特別針對訪問與核相關內容的網頁的用戶。

（3） 2013年的VOHO事件

在此事件中，網絡攻擊者將注意力集中在特定地理區(qū)域內的合法網站上，他們認為他們想要攻擊和利用的組織經常光顧。目標組織的用戶訪問了偽造的水坑網站，然后通過惡意Javascript鏈接將其重定向到漏洞利用站點。在安裝“gh0st RAT”（一種遠程訪問木馬）以監(jiān)控該組織收集情報的相關區(qū)域之前，該系統(tǒng)會檢查受害者電腦的Windows操作系統(tǒng)和Internet Explorer，RAT惡意軟件還可能暗中感染并操作網絡攝像頭和麥克風。

人們發(fā)現(xiàn)，在這次攻擊中，馬薩諸塞州和華盛頓特區(qū)與金融和技術有關的網站受到影響。據(jù)報道，超過32000位用戶訪問了“水坑”站點，影響到州、聯(lián)邦、教育機構、國防和科技部門的4000個組織。

（4） 2015年的福布斯事件

2015年，F(xiàn)orbes.com被攻擊，攻擊者利用了Microsoft 互聯(lián)網 Explorer和Adobe Flash中現(xiàn)有的零日漏洞來創(chuàng)建福布斯“每日想法”功能的惡意版本。每當有人訪問Forbes.com的頁面時，都會加載Flash Widget，然后只要設備在活動運行期間進行訪問，就會對擁有易受攻擊設備的任何人造成影響。這場水坑攻擊特別針對國防和金融服務行業(yè)。

（5） 2017 ExPetr攻擊事件

2017年6月，相信發(fā)源于烏克蘭的NotPetya（也稱為ExPetr）惡意軟件泄露了烏克蘭政府網站。該攻擊媒介是從網站上下載的用戶。惡意軟件擦除受害者硬盤的內容。

（6） 2017 Ccleaner攻擊事件

從2017年8月到9月，由供應商的下載服務器分發(fā)的Ccleaner的安裝二進制文件包含惡意軟件。Ccleaner是一種流行的工具，用于清除Windows計算機上可能存在的不需要的文件，這些文件被安全用戶廣泛使用。分發(fā)的安裝程序二進制文件是用開發(fā)人員的證書簽名的，因此攻擊者可能會破壞開發(fā)或構建環(huán)境，并用它來插入惡意軟件。

銀行是水坑攻擊最喜歡的目標

2016年末，一家波蘭銀行在該機構的電腦上發(fā)現(xiàn)惡意軟件。據(jù)認為，這種惡意軟件的來源是Web服務器的的波蘭金融監(jiān)管局。由于這種黑客行為，沒有任何財務損失的報告。

2017年初，從波蘭到烏拉圭和墨西哥的世界各地的銀行和金融機構都是一系列水坑攻擊的受害者。他們希望誘騙無辜的、值得信賴的受害者。網站被發(fā)現(xiàn)受到了一段代碼的攻擊，該代碼會從其他被攻破的域名發(fā)起毀滅性的惡意Javascript文件，這些域名托管利用Silverlight和Flash傳播惡意軟件的開發(fā)工具。

如何防御水坑攻擊

為了應對水坑攻擊，公司和組織可以采取多種預防措施，以充分保護自己免受將來的惡意攻擊。

定期檢查員工訪問量最大的網站是否存在惡意軟件;

阻止訪問你發(fā)現(xiàn)的所有受感染站點;

設置瀏覽器和工具，以利用網站信譽讓用戶知道不良網站;

在允許你的員工訪問這些站點之前，請檢查所有來自第三方和外部站點的所有流量并進行驗證;

為了幫助進行驗證并增強網絡安全狀況，建議你采用包括威脅檢測在內的多種方法。
責編AJX