水坑攻击，监视公司的一举一动？这里教你如何防御 _水坑攻击

转自Mcafee Labs，作者German Lancioni
水坑攻击巧妙而危险的动态一组研究人员最近公布了利用多个iphone漏洞利用网站感染最终目标的研究结果。这类攻击背后的关键概念是使用可信的网站作为攻击他人的中间平台，它被定义为水坑攻击。
再通俗一点讲，就是在受害者必经之路设置了一个“水坑(陷阱)” 。最常见的做法是，黑客分析攻击目标的上网活动规律，寻找攻击目标经常访问的网站的弱点，先将此网站“攻破”并植入攻击代码，一旦攻击目标访问该网站就会“中招” 。
它是如何工作的?你们的组织是一个坚不可摧的堡垒，实施了每一项网络安全措施。坏蛋很难破坏您的系统。但是，如果最薄弱的环节不是您的组织，而是第三方呢?这就是“跳岛”攻击可以摧毁你的堡垒的地方。

文章插图

“跳岛”是一种军事战略，目的是集中力量在战略位置较弱的岛屿上，以接近最后一个主要陆地目标。
“跳岛”的一个相关例子是水坑攻击。水坑攻击的动机是攻击者的挫败感。如果他们不能到达目标，也许他们可以妥协一个较弱的次级目标，然后获得接近目标?组织中的员工总是与第三方网站和服务进行交互。
可以是供应商、供应链中的实体，甚至是公开可用的网站。即使您的组织可能具有最先进的安全外围保护，与您交互的第三方可能没有。
在这种类型的攻击中，坏人开始对员工进行剖析，以找出他们通常使用的网站或服务。什么是最常访问的新闻博客?他们更喜欢哪家航空公司?他们使用哪个服务提供商来检查工资单?目标组织所在的行业类型、员工的职业兴趣等是什么?
基于这一分析，他们分析了员工访问的众多网站中哪些是薄弱和脆弱的。当他们发现一个，下一步是危害这个第三方网站注入恶意代码，托管恶意软件，感染现有/受信任的下载，或重定向到钓鱼网站窃取证书。
一旦网站被入侵，他们就会等待目标组织的员工访问网站并被感染，有时会更加直接，比如发送给员工的钓鱼邮件。
有时，这需要某种形式的交互，例如员工使用文件上传表单、下载以前受信任的PDF报告或试图从合法的站点重定向后登录钓鱼站点。最后，黑客将从受感染的员工设备横向移动到期望的最终目标。

文章插图

图1:水坑攻击动态
水坑攻击的受害者不仅是最终目标，而且是参与攻击链的战略组织。例如，2019年3月发现一起水坑袭击事件，目标是联合国成员国，将国际民航组织(ICAO)作为中间目标[1] 。
由于国际民航组织是预定目标经常访问的网站，它受到了利用易受攻击的服务器的攻击。去年的另一个例子是一个由20多个新闻和媒体网站组成的团体，他们作为中间目标被攻击，以达到越南和柬埔寨的特定目标[2] 。
风险分析由于此类攻击依赖于脆弱但可信的第三方网站，因此通常不会引起注意，也不容易与进一步的数据泄露联系起来。为了确保你的风险分析考虑到了这种潜在的威胁，你需要问以下几个问题:
互动网站和服务有多安全?第三方的安全利益是否与我的一致?(提示:可能不是!您可能急于修补您的web服务器，但这并不意味着第三方站点也在这么做) 。
水坑攻击有什么影响?对于每种威胁，重要的是分析这种威胁的可能性以及攻击者实现它的难度。这将因组织而异，但是一种通用的方法是分析最流行的网站。
在查看全球排名前100万的网站时，有趣的是，其中60%左右的网站使用内容管理系统(cms)，如wordPress/ target=_blank class=infotextkey>WordPress、Joomla或Drupal 。
这带来了一个额外的挑战，因为从统计上看，这些流行的CMSs更有可能出现在组织的网络流量中，因此更有可能成为水坑攻击的目标。
因此，每月发现和利用CMSs上的几十个漏洞就不足为奇了(在过去两年中，仅前4个CMSs[4]就发现了大约1000个漏洞) 。
更令人担忧的是，CMSs被设计成与其他服务集成并使用插件进行扩展(到目前为止，已有超过55,000个插件可用) 。这进一步扩展了攻击面，因为它创造了损害这些框架所使用的小型库/插件的机会。
因此，CMSs经常成为水坑攻击的目标，通过利用漏洞使坏人能够控制服务器/站点，修改其内容以达到恶意目的。在一些高级场景中，他们还会添加指纹脚本来检查IP地址、时区和其他有关受害者的有用细节。