轉(zhuǎn)自Mcafee Labs，作者German Lancioni

水坑攻擊巧妙而危險(xiǎn)的動(dòng)態(tài)

一組研究人員最近公布了利用多個(gè)iphone漏洞利用網(wǎng)站感染最終目標(biāo)的研究結(jié)果。這類攻擊背后的關(guān)鍵概念是使用可信的網(wǎng)站作為攻擊他人的中間平臺(tái)，它被定義為水坑攻擊。

再通俗一點(diǎn)講，就是在受害者必經(jīng)之路設(shè)置了一個(gè)“水坑(陷阱)”。最常見(jiàn)的做法是，黑客分析攻擊目標(biāo)的上網(wǎng)活動(dòng)規(guī)律，尋找攻擊目標(biāo)經(jīng)常訪問(wèn)的網(wǎng)站的弱點(diǎn)，先將此網(wǎng)站“攻破”并植入攻擊代碼，一旦攻擊目標(biāo)訪問(wèn)該網(wǎng)站就會(huì)“中招”。

它是如何工作的?

你們的組織是一個(gè)堅(jiān)不可摧的堡壘，實(shí)施了每一項(xiàng)網(wǎng)絡(luò)安全措施。壞蛋很難破壞您的系統(tǒng)。但是，如果最薄弱的環(huán)節(jié)不是您的組織，而是第三方呢?這就是“跳島”攻擊可以摧毀你的堡壘的地方。

“跳島”是一種軍事戰(zhàn)略，目的是集中力量在戰(zhàn)略位置較弱的島嶼上，以接近最后一個(gè)主要陸地目標(biāo)。

“跳島”的一個(gè)相關(guān)例子是水坑攻擊。水坑攻擊的動(dòng)機(jī)是攻擊者的挫敗感。如果他們不能到達(dá)目標(biāo)，也許他們可以妥協(xié)一個(gè)較弱的次級(jí)目標(biāo)，然后獲得接近目標(biāo)?組織中的員工總是與第三方網(wǎng)站和服務(wù)進(jìn)行交互。

可以是供應(yīng)商、供應(yīng)鏈中的實(shí)體，甚至是公開(kāi)可用的網(wǎng)站。即使您的組織可能具有最先進(jìn)的安全外圍保護(hù)，與您交互的第三方可能沒(méi)有。

在這種類型的攻擊中，壞人開(kāi)始對(duì)員工進(jìn)行剖析，以找出他們通常使用的網(wǎng)站或服務(wù)。什么是最常訪問(wèn)的新聞博客?他們更喜歡哪家航空公司?他們使用哪個(gè)服務(wù)提供商來(lái)檢查工資單?目標(biāo)組織所在的行業(yè)類型、員工的職業(yè)興趣等是什么?

基于這一分析，他們分析了員工訪問(wèn)的眾多網(wǎng)站中哪些是薄弱和脆弱的。當(dāng)他們發(fā)現(xiàn)一個(gè)，下一步是危害這個(gè)第三方網(wǎng)站注入惡意代碼，托管惡意軟件，感染現(xiàn)有/受信任的下載，或重定向到釣魚(yú)網(wǎng)站竊取證書(shū)。

一旦網(wǎng)站被入侵，他們就會(huì)等待目標(biāo)組織的員工訪問(wèn)網(wǎng)站并被感染，有時(shí)會(huì)更加直接，比如發(fā)送給員工的釣魚(yú)郵件。

有時(shí)，這需要某種形式的交互，例如員工使用文件上傳表單、下載以前受信任的PDF報(bào)告或試圖從合法的站點(diǎn)重定向后登錄釣魚(yú)站點(diǎn)。最后，黑客將從受感染的員工設(shè)備橫向移動(dòng)到期望的最終目標(biāo)。

圖1:水坑攻擊動(dòng)態(tài)

水坑攻擊的受害者不僅是最終目標(biāo)，而且是參與攻擊鏈的戰(zhàn)略組織。例如，2019年3月發(fā)現(xiàn)一起水坑襲擊事件，目標(biāo)是聯(lián)合國(guó)成員國(guó)，將國(guó)際民航組織(ICAO)作為中間目標(biāo)[1]。

由于國(guó)際民航組織是預(yù)定目標(biāo)經(jīng)常訪問(wèn)的網(wǎng)站，它受到了利用易受攻擊的服務(wù)器的攻擊。去年的另一個(gè)例子是一個(gè)由20多個(gè)新聞和媒體網(wǎng)站組成的團(tuán)體，他們作為中間目標(biāo)被攻擊，以達(dá)到越南和柬埔寨的特定目標(biāo)[2]。

風(fēng)險(xiǎn)分析

由于此類攻擊依賴于脆弱但可信的第三方網(wǎng)站，因此通常不會(huì)引起注意，也不容易與進(jìn)一步的數(shù)據(jù)泄露聯(lián)系起來(lái)。為了確保你的風(fēng)險(xiǎn)分析考慮到了這種潛在的威脅，你需要問(wèn)以下幾個(gè)問(wèn)題:

互動(dòng)網(wǎng)站和服務(wù)有多安全?

第三方的安全利益是否與我的一致?(提示:可能不是!您可能急于修補(bǔ)您的web服務(wù)器，但這并不意味著第三方站點(diǎn)也在這么做)。

水坑攻擊有什么影響?

對(duì)于每種威脅，重要的是分析這種威脅的可能性以及攻擊者實(shí)現(xiàn)它的難度。這將因組織而異，但是一種通用的方法是分析最流行的網(wǎng)站。

在查看全球排名前100萬(wàn)的網(wǎng)站時(shí)，有趣的是，其中60%左右的網(wǎng)站使用內(nèi)容管理系統(tǒng)(cms)，如wordPress/ target=_blank class=infotextkey>WordPress、Joomla或Drupal。

這帶來(lái)了一個(gè)額外的挑戰(zhàn)，因?yàn)閺慕y(tǒng)計(jì)上看，這些流行的CMSs更有可能出現(xiàn)在組織的網(wǎng)絡(luò)流量中，因此更有可能成為水坑攻擊的目標(biāo)。

因此，每月發(fā)現(xiàn)和利用CMSs上的幾十個(gè)漏洞就不足為奇了(在過(guò)去兩年中，僅前4個(gè)CMSs[4]就發(fā)現(xiàn)了大約1000個(gè)漏洞)。

更令人擔(dān)憂的是，CMSs被設(shè)計(jì)成與其他服務(wù)集成并使用插件進(jìn)行擴(kuò)展(到目前為止，已有超過(guò)55,000個(gè)插件可用)。這進(jìn)一步擴(kuò)展了攻擊面，因?yàn)樗鼊?chuàng)造了損害這些框架所使用的小型庫(kù)/插件的機(jī)會(huì)。

因此，CMSs經(jīng)常成為水坑攻擊的目標(biāo)，通過(guò)利用漏洞使壞人能夠控制服務(wù)器/站點(diǎn)，修改其內(nèi)容以達(dá)到惡意目的。在一些高級(jí)場(chǎng)景中，他們還會(huì)添加指紋腳本來(lái)檢查IP地址、時(shí)區(qū)和其他有關(guān)受害者的有用細(xì)節(jié)。

根據(jù)這些數(shù)據(jù)，當(dāng)受害者不是目標(biāo)公司的員工時(shí)，黑客可以自動(dòng)決定放手還是繼續(xù)，或者當(dāng)他們捉住中了頭彩的受害者時(shí)，他們可以進(jìn)一步進(jìn)入攻擊鏈。

防御水坑攻擊

隨著組織加強(qiáng)其安全姿態(tài)，壞行為者正被推向新的邊界。因此，水坑攻擊得到了越來(lái)越多的關(guān)注，因?yàn)?strong>這些攻擊允許壞人攻擊中間目標(biāo)(更脆弱的目標(biāo))，以便以后能夠接近預(yù)定的最終目標(biāo)。

為了幫助您的組織免受水坑攻擊，請(qǐng)確保包含了web保護(hù)。即使用戶正在訪問(wèn)一個(gè)遭受水坑攻擊的站點(diǎn)，它也可以幫助提供針對(duì)特定類型攻擊的額外防御。你也可以:

建立一個(gè)零信任模型，特別是圍繞訪問(wèn)公共站點(diǎn)的員工，以確保即使一個(gè)酒吧攻擊針對(duì)的是您的組織，您也可以阻止它繼續(xù)前進(jìn)。

定期檢查您的組織的網(wǎng)絡(luò)流量，以確定您的員工可能接觸到的易受攻擊的第三方網(wǎng)站。

檢查組織的提供者公開(kāi)的網(wǎng)站和服務(wù)。這些是否足夠安全，并適當(dāng)修補(bǔ)?如果沒(méi)有，考慮這些可能成為中間目標(biāo)的可能性，并應(yīng)用策略來(lái)限制對(duì)這些站點(diǎn)的暴露(例如，如果這是一個(gè)選項(xiàng)，就不允許下載)。

在可能的情況下，向提供者發(fā)出關(guān)于未修補(bǔ)的web服務(wù)器、CMS框架或庫(kù)的警告，以便他們能夠迅速降低風(fēng)險(xiǎn)。

處理水坑攻擊要求我們更加關(guān)注和仔細(xì)審查我們?cè)L問(wèn)的網(wǎng)站，即使這些網(wǎng)站被列為受信任的網(wǎng)站。通過(guò)這樣做，我們不僅可以降低水坑攻擊的風(fēng)險(xiǎn)，還可以避免數(shù)據(jù)泄露的可能途徑。

聲明：我們尊重原創(chuàng)者版權(quán)，除確實(shí)無(wú)法確認(rèn)作者外，均會(huì)注明作者和來(lái)源。轉(zhuǎn)載文章僅供個(gè)人學(xué)習(xí)研究，同時(shí)向原創(chuàng)作者表示感謝，若涉及版權(quán)問(wèn)題，請(qǐng)及時(shí)聯(lián)系小編刪除！