水坑攻擊概述

張珊珊

水坑攻擊是一種看似簡(jiǎn)單但成功率較高的網(wǎng)絡(luò)攻擊方式。攻擊目標(biāo)多為特定的團(tuán)體（組織、行業(yè)及地區(qū)等）。攻擊者首先通過(guò)猜測(cè)（或觀察）確定這組目標(biāo)經(jīng)常訪問(wèn)的網(wǎng)站，然后入侵其中一個(gè)或多個(gè)網(wǎng)站，植入惡意軟件。在目標(biāo)訪問(wèn)該網(wǎng)站時(shí)，會(huì)被重定向到惡意網(wǎng)址或觸發(fā)惡意軟件執(zhí)行，導(dǎo)致該組目標(biāo)中部分成員甚至全部成員被感染。按照這個(gè)思路，水坑攻擊其實(shí)也可以算是魚(yú)叉式釣魚(yú)的一種延伸。

早在2012年，國(guó)外就有研究人員提出了“水坑攻擊”的概念。這種攻擊方式的命名受獅子等猛獸的狩獵方式啟發(fā)。在捕獵時(shí)，獅子并不總是會(huì)主動(dòng)出擊，他們有時(shí)會(huì)埋伏水坑邊上，等目標(biāo)路過(guò)水坑停下來(lái)喝水的時(shí)候，就抓住時(shí)機(jī)展開(kāi)攻擊。這樣的攻擊成功率就很高，因?yàn)槟繕?biāo)總是要到水坑“喝水”的。

水坑攻擊的主要特征

多屬于APT攻擊，目標(biāo)一般是大型、重要企業(yè)的員工或網(wǎng)站，且多是利用0-day漏洞。

水坑攻擊如何運(yùn)作？

攻擊者定期觀察受害者或特定團(tuán)體經(jīng)常訪問(wèn)的網(wǎng)站，然后用惡意軟件感染這些網(wǎng)站。然后尋找這些網(wǎng)站的漏洞，并將惡意編程代碼（通常以JavaScript或HTML形式）注入到網(wǎng)站上顯示的廣告或橫幅上。然后惡意代碼會(huì)將受害者重定向到存在惡意軟件或惡意廣告的網(wǎng)絡(luò)釣魚(yú)網(wǎng)站上。當(dāng)受害者訪問(wèn)這些網(wǎng)站時(shí)，受害者的計(jì)算機(jī)就會(huì)自動(dòng)下載包含惡意軟件的腳本。然后惡意軟件會(huì)收集受害者的個(gè)人信息，并將其發(fā)送給攻擊者操作的C&C服務(wù)器。

水坑攻擊案例

2012年底，美國(guó)外交關(guān)系委員會(huì)的網(wǎng)站遭遇水坑攻擊；

2013年初，蘋(píng)果、微軟、紐約時(shí)報(bào)、Facebook和Twitter等知名大流量網(wǎng)站也相繼中招；

國(guó)內(nèi)網(wǎng)站也難以幸免：2013年，西藏政府網(wǎng)站就曾遭遇水坑攻擊；

2015年，百度、阿里等國(guó)內(nèi)知名網(wǎng)站也因?yàn)镴SONP漏洞而遭受水坑攻擊。

2017年，黑客組織Lazarus發(fā)起了水坑攻擊，IP地址顯示此次攻擊影響了來(lái)自31個(gè)國(guó)家和地區(qū)的104個(gè)特定組織，大多數(shù)目標(biāo)在波蘭，其次是美國(guó)、墨西哥、巴西和智利。

2018年，柬埔寨國(guó)防部、柬埔寨外交和國(guó)際合作部等近21個(gè)網(wǎng)站遭到OceanLotus威脅組織發(fā)起的水坑攻擊。

如何免受水坑攻擊？

建議將所有軟件更新到最新版本，并及時(shí)更新操作系統(tǒng)；

正確配置防火墻和其他網(wǎng)絡(luò)安全產(chǎn)品；

為了防止水坑攻擊，建議監(jiān)控員工經(jīng)常訪問(wèn)的網(wǎng)站，確保這些網(wǎng)站中沒(méi)有惡意軟件；

確保自己的網(wǎng)站沒(méi)有惡意軟件；

使用VPN和瀏覽器的隱私瀏覽功能隱藏在線活動(dòng)；

加強(qiáng)有關(guān)水坑攻擊的教育。