水坑攻击
本文约需 2 分钟阅读
水坑攻击 (Watering Hole Attack) 是一种定向攻击,攻击者预先识别并篡改目标组织或行业的员工频繁访问的网站,使访问者的终端感染恶意软件。其名称源于将攻击者比作在野生动物聚集的水坑旁守株待兔的捕食者。 2024 年,国家支持型攻击组织发动的水坑攻击在多个行业协会网站上被确认,至今仍是十分活跃的攻击手法。
现场使用案例
“某行业协会的会员门户网站被篡改,恶意软件被投递到我公司 3 名员工的终端上。攻击者实施了选择性攻击,仅向来自我公司 IP 地址范围的访问投递漏洞利用程序,普通用户看到的是正常页面,因此发现得较晚。”
水坑攻击流程
调查目标组织员工经常访问的网站
利用目标网站的漏洞植入恶意脚本
仅向来自目标 IP 范围的访问投递恶意软件
员工终端感染恶意软件,进而入侵内部网络
攻击的流程
攻击者首先调查目标组织员工经常访问的行业新闻网站、技术论坛、行业协会网站等。接着,利用这些网站的漏洞植入恶意脚本。通过实施仅向来自目标组织 IP 地址范围的访问投递恶意软件的“选择性攻击”,规避安全研究人员的检测。与鱼叉式网络钓鱼不同,棘手之处在于它无法通过邮件过滤器加以防御。定向攻击入门书 (Amazon)可以系统地学习。
防御措施
防御水坑攻击需要采用多层次的方法。通过保持浏览器和插件的最新版本来封堵零日以外的漏洞,并利用 Web 代理和沙箱检测可疑脚本的执行。在网络层面,利用 IDS/IPS 检测异常的通信模式十分有效。通过终端的 EDR (Endpoint Detection and Response) 监控恶意软件的行为,力求及早发现感染。为每项服务使用各自独立的强密码来保护各类账户,从而防止恶意软件感染后被害扩大,这一点也很重要。恶意软件防护书籍 (Amazon)也很有参考价值。
这篇文章对您有帮助吗?