水坑攻击的原理并结合真实例子来说明攻击过程，及对应的缓解措施

“水坑攻击（Watering hole））”是攻击者常见的攻击方式之一，顾名思义，是在受害者必经之路设置了一个“水坑（陷阱）”。最常见的做法是，攻击者分析攻击目标的上网活动规律，寻找攻击目标经常访问的网站的弱点，先将此网站“攻破”并植入攻击代码，一旦攻击目标访问该网站就会“中招”。

本文我们将介绍水坑攻击的原理并结合一些真实的示例来说明攻击过程，以及对应的缓解措施。

什么是水坑攻击？

水坑攻击属于APT攻击的一种，与钓鱼攻击相比，攻击者无需耗费精力制作钓鱼网站，而是利用合法网站的弱点，隐蔽性比较强。在人们安全意识不断加强的今天，攻击者处心积虑地制作钓鱼网站却被有心人轻易识破，而水坑攻击则利用了被攻击者对网站的信任。水坑攻击利用网站的弱点在其中植入攻击代码，攻击代码利用浏览器的缺陷，被攻击者访问网站时终端会被植入恶意程序或者直接被盗取个人重要信息。水坑攻击相对于通过社会工程方式引诱目标用户访问恶意网站更具欺骗性，效率也更高。水坑方法主要被用于有针对性的攻击，而Adobe Reader、Java运行时环境（JRE）、Flash和IE中的零漏洞被用于安装恶意软件

归根结底水坑攻击采用的是一种社会工程技术，网络攻击者会发现并观察目标组织或公司的偏爱网站。然后，他们尝试用恶意代码感染这些站点，然后毫无戒心的用户将通过这些受感染的链接之一成为受害者，例如下载等。网络攻击者还可能决定攻击特定的IP地址，以发现他们正在寻找的某些信息。这意味着，水坑攻击更难被检测到。

例如，在我们的工作和个人在线日常生活中，我们习惯于定期使用一些网站，这些网站被描述为网络安全词典中的水坑。例如，如果你在银行或金融科技领域工作，则可能会每天使用诸如The Banker，BBA，European Central Bank或Federal Reserve等网站。网络攻击者也知道这一点，并且已经识别出这些完全相同的网站，了解如何利用我们对它们的信任。然后，就像掠食者在水坑里等着动物一样，等待着一个毫无戒心的员工。

水坑攻击的技巧

当我们在互联网上出于个人或商业目的进行搜索时，绝大多数人会不自觉地提供跟踪信息。该跟踪信息使网络攻击者能够对目标目标受害者的网络行为进行描绘，并提供有关其公司和组织的安全协议、策略、访问和云服务的其他重要信息。

一旦网络攻击者建立了个人最喜欢的，可信赖的网站和信息源，他们就会调查自己的漏洞，以及如何最好地利用这些漏洞来达到他们不正当的目的。然后，他们开始将恶意Javascript或HTML代码插入到你最常访问和信任的网站中，或者在发现网络安全漏洞后重新创建异常相似的非法网站。然后，将目标用户重定向到这些伪造的，受感染的网站，在这些网站中，恶意软件或恶意软件正等待将其与后续的网络钓鱼和勒索软件攻击挂钩。后果可能是破坏性的数据破坏，造成数百万美元的损失，并给相关公司或组织带来许多负面的公关和不良的品牌知名度。

水坑攻击的现实例子

（1） 2012的美国外交关系委员会事件

2012年12月，通过微软Internet Explorer中的零日漏洞，发现外交关系委员会网站感染了恶意软件。在此次攻击中，恶意软件仅部署给使用Internet Explorer设置为英语，中文，日语，韩语和俄语的用户。

（2） 2013年的美国劳工部事件

2013年初，攻击者利用美国劳工部网站收集用户信息。这次攻击特别针对访问与核相关内容的网页的用户。

（3） 2013年的VOHO事件

在此事件中，网络攻击者将注意力集中在特定地理区域内的合法网站上，他们认为他们想要攻击和利用的组织经常光顾。目标组织的用户访问了伪造的水坑网站，然后通过恶意Javascript链接将其重定向到漏洞利用站点。在安装“gh0st RAT”（一种远程访问木马）以监控该组织收集情报的相关区域之前，该系统会检查受害者电脑的Windows操作系统和Internet Explorer，RAT恶意软件还可能暗中感染并操作网络摄像头和麦克风。

人们发现，在这次攻击中，马萨诸塞州和华盛顿特区与金融和技术有关的网站受到影响。据报道，超过32000位用户访问了“水坑”站点，影响到州、联邦、教育机构、国防和科技部门的4000个组织。

（4） 2015年的福布斯事件

2015年，Forbes.com被攻击，攻击者利用了Microsoft 互联网 Explorer和Adobe Flash中现有的零日漏洞来创建福布斯“每日想法”功能的恶意版本。每当有人访问Forbes.com的页面时，都会加载Flash Widget，然后只要设备在活动运行期间进行访问，就会对拥有易受攻击设备的任何人造成影响。这场水坑攻击特别针对国防和金融服务行业。

（5） 2017 ExPetr攻击事件

2017年6月，相信发源于乌克兰的NotPetya（也称为ExPetr）恶意软件泄露了乌克兰政府网站。该攻击媒介是从网站上下载的用户。恶意软件擦除受害者硬盘的内容。

（6） 2017 Ccleaner攻击事件

从2017年8月到9月，由供应商的下载服务器分发的Ccleaner的安装二进制文件包含恶意软件。Ccleaner是一种流行的工具，用于清除Windows计算机上可能存在的不需要的文件，这些文件被安全用户广泛使用。分发的安装程序二进制文件是用开发人员的证书签名的，因此攻击者可能会破坏开发或构建环境，并用它来插入恶意软件。

银行是水坑攻击最喜欢的目标

2016年末，一家波兰银行在该机构的电脑上发现恶意软件。据认为，这种恶意软件的来源是Web服务器的的波兰金融监管局。由于这种黑客行为，没有任何财务损失的报告。

2017年初，从波兰到乌拉圭和墨西哥的世界各地的银行和金融机构都是一系列水坑攻击的受害者。他们希望诱骗无辜的、值得信赖的受害者。网站被发现受到了一段代码的攻击，该代码会从其他被攻破的域名发起毁灭性的恶意Javascript文件，这些域名托管利用Silverlight和Flash传播恶意软件的开发工具。

如何防御水坑攻击

为了应对水坑攻击，公司和组织可以采取多种预防措施，以充分保护自己免受将来的恶意攻击。

定期检查员工访问量最大的网站是否存在恶意软件;

阻止访问你发现的所有受感染站点;

设置浏览器和工具，以利用网站信誉让用户知道不良网站;

在允许你的员工访问这些站点之前，请检查所有来自第三方和外部站点的所有流量并进行验证;

为了帮助进行验证并增强网络安全状况，建议你采用包括威胁检测在内的多种方法。
责编AJX