0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

水坑攻击的原理并结合真实例子来说明攻击过程,及对应的缓解措施

如意 来源:嘶吼网 作者:xiaohui 2020-08-31 14:56 次阅读

“水坑攻击(Watering hole))”是攻击者常见的攻击方式之一,顾名思义,是在受害者必经之路设置了一个“水坑(陷阱)”。最常见的做法是,攻击者分析攻击目标的上网活动规律,寻找攻击目标经常访问的网站的弱点,先将此网站“攻破”并植入攻击代码,一旦攻击目标访问该网站就会“中招”。

本文我们将介绍水坑攻击的原理并结合一些真实的示例来说明攻击过程,以及对应的缓解措施。

什么是水坑攻击?

水坑攻击属于APT攻击的一种,与钓鱼攻击相比,攻击者无需耗费精力制作钓鱼网站,而是利用合法网站的弱点,隐蔽性比较强。在人们安全意识不断加强的今天,攻击者处心积虑地制作钓鱼网站却被有心人轻易识破,而水坑攻击则利用了被攻击者对网站的信任。水坑攻击利用网站的弱点在其中植入攻击代码,攻击代码利用浏览器的缺陷,被攻击者访问网站时终端会被植入恶意程序或者直接被盗取个人重要信息。水坑攻击相对于通过社会工程方式引诱目标用户访问恶意网站更具欺骗性,效率也更高。水坑方法主要被用于有针对性的攻击,而Adobe Reader、Java运行时环境(JRE)、Flash和IE中的零漏洞被用于安装恶意软件

归根结底水坑攻击采用的是一种社会工程技术,网络攻击者会发现并观察目标组织或公司的偏爱网站。然后,他们尝试用恶意代码感染这些站点,然后毫无戒心的用户将通过这些受感染的链接之一成为受害者,例如下载等。网络攻击者还可能决定攻击特定的IP地址,以发现他们正在寻找的某些信息。这意味着,水坑攻击更难被检测到。

例如,在我们的工作和个人在线日常生活中,我们习惯于定期使用一些网站,这些网站被描述为网络安全词典中的水坑。例如,如果你在银行或金融科技领域工作,则可能会每天使用诸如The Banker,BBA,European Central Bank或Federal Reserve等网站。网络攻击者也知道这一点,并且已经识别出这些完全相同的网站,了解如何利用我们对它们的信任。然后,就像掠食者在水坑里等着动物一样,等待着一个毫无戒心的员工。

水坑攻击的技巧

当我们在互联网上出于个人或商业目的进行搜索时,绝大多数人会不自觉地提供跟踪信息。该跟踪信息使网络攻击者能够对目标目标受害者的网络行为进行描绘,并提供有关其公司和组织的安全协议、策略、访问和云服务的其他重要信息。

一旦网络攻击者建立了个人最喜欢的,可信赖的网站和信息源,他们就会调查自己的漏洞,以及如何最好地利用这些漏洞来达到他们不正当的目的。然后,他们开始将恶意Javascript或HTML代码插入到你最常访问和信任的网站中,或者在发现网络安全漏洞后重新创建异常相似的非法网站。然后,将目标用户重定向到这些伪造的,受感染的网站,在这些网站中,恶意软件或恶意软件正等待将其与后续的网络钓鱼和勒索软件攻击挂钩。后果可能是破坏性的数据破坏,造成数百万美元的损失,并给相关公司或组织带来许多负面的公关和不良的品牌知名度。

水坑攻击的现实例子

(1) 2012的美国外交关系委员会事件

2012年12月,通过微软Internet Explorer中的零日漏洞,发现外交关系委员会网站感染了恶意软件。在此次攻击中,恶意软件仅部署给使用Internet Explorer设置为英语,中文,日语,韩语和俄语的用户。

(2) 2013年的美国劳工部事件

2013年初,攻击者利用美国劳工部网站收集用户信息。这次攻击特别针对访问与核相关内容的网页的用户。

(3) 2013年的VOHO事件

在此事件中,网络攻击者将注意力集中在特定地理区域内的合法网站上,他们认为他们想要攻击和利用的组织经常光顾。目标组织的用户访问了伪造的水坑网站,然后通过恶意Javascript链接将其重定向到漏洞利用站点。在安装“gh0st RAT”(一种远程访问木马)以监控该组织收集情报的相关区域之前,该系统会检查受害者电脑的Windows操作系统和Internet Explorer,RAT恶意软件还可能暗中感染并操作网络摄像头和麦克风。

人们发现,在这次攻击中,马萨诸塞州和华盛顿特区与金融和技术有关的网站受到影响。据报道,超过32000位用户访问了“水坑”站点,影响到州、联邦、教育机构、国防和科技部门的4000个组织。

(4) 2015年的福布斯事件

2015年,Forbes.com被攻击,攻击者利用了Microsoft 互联网 Explorer和Adobe Flash中现有的零日漏洞来创建福布斯“每日想法”功能的恶意版本。每当有人访问Forbes.com的页面时,都会加载Flash Widget,然后只要设备在活动运行期间进行访问,就会对拥有易受攻击设备的任何人造成影响。这场水坑攻击特别针对国防和金融服务行业。

(5) 2017 ExPetr攻击事件

2017年6月,相信发源于乌克兰的NotPetya(也称为ExPetr)恶意软件泄露了乌克兰政府网站。该攻击媒介是从网站上下载的用户。恶意软件擦除受害者硬盘的内容。

(6) 2017 Ccleaner攻击事件

从2017年8月到9月,由供应商的下载服务器分发的Ccleaner的安装二进制文件包含恶意软件。Ccleaner是一种流行的工具,用于清除Windows计算机上可能存在的不需要的文件,这些文件被安全用户广泛使用。分发的安装程序二进制文件是用开发人员的证书签名的,因此攻击者可能会破坏开发或构建环境,并用它来插入恶意软件。

银行是水坑攻击最喜欢的目标

2016年末,一家波兰银行在该机构的电脑上发现恶意软件。据认为,这种恶意软件的来源是Web服务器的的波兰金融监管局。由于这种黑客行为,没有任何财务损失的报告。

2017年初,从波兰到乌拉圭和墨西哥的世界各地的银行和金融机构都是一系列水坑攻击的受害者。他们希望诱骗无辜的、值得信赖的受害者。网站被发现受到了一段代码的攻击,该代码会从其他被攻破的域名发起毁灭性的恶意Javascript文件,这些域名托管利用Silverlight和Flash传播恶意软件的开发工具。

如何防御水坑攻击

为了应对水坑攻击,公司和组织可以采取多种预防措施,以充分保护自己免受将来的恶意攻击。

定期检查员工访问量最大的网站是否存在恶意软件;

阻止访问你发现的所有受感染站点;

设置浏览器和工具,以利用网站信誉让用户知道不良网站;

在允许你的员工访问这些站点之前,请检查所有来自第三方和外部站点的所有流量并进行验证;

为了帮助进行验证并增强网络安全状况,建议你采用包括威胁检测在内的多种方法。
责编AJX

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 网络安全
    +关注

    关注

    10

    文章

    3149

    浏览量

    59695
  • 网络攻击
    +关注

    关注

    0

    文章

    331

    浏览量

    23438
收藏 人收藏

    评论

    相关推荐

    对嵌入式系统的攻击 攻击者通过什么途径得到ATM的密钥呢?

    装入、调试和测量状态下都是遭受简单攻击的薄弱环节。这些工作状态通常允许对微处理器内存和寄存器读/写操作。即使这些状态的文件不公开,对于有着广泛社交经验的工程师来说,通过微处理器厂商的雇员来获取这些信息
    发表于 08-11 14:27

    CC攻击

    了解CC攻击的原理及如果发现CC攻击和对其的防范措施。   1、攻击原理   CC攻击的原理就是攻击
    发表于 09-10 15:59

    MCU怎么应对攻击与破解?

    攻击(也称暴力攻击Brute force attacks)暴力对于半导体硬件和密码来说是另一种意思。对于密码,暴力攻击是对系统尝试数量众多的密钥。通常是使用高速计算机来寻找匹配的密钥。
    发表于 12-21 18:12

    SCDN的抗CC攻击和抗DDoS攻击防护是什么?

    300Gbps。另可定制最高达600Gbps防护。CC攻击是什么?CC攻击是 DDOS(分布式拒绝服务) 的一种,DDoS是针对IP的攻击,而CC攻击的是网页。CC
    发表于 01-05 14:45

    针对非接触式安全微控制器的攻击方式及防范措施

    控制器内核本身的设计。硬件与软件防范措施的有机结合,筑起了第三道防线。由于在某些情况下,纯软件的防范措施本身就会成为故障攻击的目标,因此必须采用硬件与软件
    发表于 12-05 09:54

    面对外部恶意攻击网站,高防服务器如何去防御攻击

    的成本和需求结合起来考虑,切勿盲目选择,最好是选择以后可以升级防御的机房。这样不仅能控制支出成本,还能很好的起到防御作用,不然被攻击,严重的导致服务器宕机,对企业的损失是巨大的。 一、首先我们要了
    发表于 05-07 17:00

    《DNS攻击防范科普系列2》 -DNS服务器怎么防DDoS攻击

    的DNS的UDP一来一回请求转换成为具有会话记录的UDP多来多回请求,通过判断第二次请求的特点来判定该源IP是否为真实用户访问行为或者攻击行为,随之进行
    发表于 10-16 15:28

    以串口通信和485通信的例子来说明其通信的过程

    我们都知道计算机肯定是需要计算机与计算机之间的通信联系,或者计算机也要和外部设备进行联系,那我们就要了解它的基本通信基础串行通信并行通信我们后面会以串口通信和485通信的例子来说明其通信的过程
    发表于 11-30 07:09

    cc攻击防御解决方法

    页面可能需要从几十MB的数据库中调用,这样消耗情况就很明显了,对于论坛来说,往往就需要很好的服务器才能稳定运行,因为论坛很难做到纯静态。隐藏服务器ip使用cdn加速能隐藏服务器的真实ip,导致攻击
    发表于 01-22 09:48

    新唐对应四大物联网安全攻击的保护措施

    所需的安全功能。透过微控制器内部的硬件加密加速器可将设备端以及服务器间的数据传递透过加密方式进行有助于对抗通讯类攻击结合秘钥存储器 (Key Store) 使用更能同时提高秘钥防窃能力。 而建构在
    发表于 08-21 08:14

    dos攻击原理及攻击实例

    DoS是DenialofService的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性
    发表于 01-17 15:33 4w次阅读

    CIO防止或减轻网络攻击措施

    越来越复杂的网络犯罪开始出现在人们的视线中,网络攻击者比以往更具组织性和复杂性。对于企业来说应对网络安全威胁,他们需要负责改变运营方式。但还是会存在某些脆弱状态,本文将讨论CIO如何应对网络
    发表于 02-11 09:05 931次阅读

    DDoS攻击原理 DDoS攻击原理及防护措施

    DDoS攻击原理是什么DDoS攻击原理及防护措施介绍
    发表于 10-20 10:29 1次下载

    新唐对应四大物联网安全攻击之保护措施

    新唐对应四大物联网安全攻击之保护措施
    的头像 发表于 08-10 11:02 534次阅读
    新唐<b class='flag-5'>对应</b>四大物联网安全<b class='flag-5'>攻击</b>之保护<b class='flag-5'>措施</b>

    网络攻击中常见的掩盖真实IP的攻击方式

    在各类网络攻击中,掩盖真实IP进行攻击是常见的手段,因为攻击者会通过这样的手段来逃脱追踪和法律监管。我们需要对这类攻击做出判断,进而做出有效
    的头像 发表于 12-12 10:24 61次阅读