“Watering Hole（水坑）”是用來描述針對性惡意軟件攻擊時，攻擊者入侵合法網(wǎng)站插入一個“偷渡式”漏洞攻擊代碼，借此攻擊網(wǎng)站訪客的流行用語。

當(dāng)然，這種攻擊并不是最新的。這項技術(shù)一直被網(wǎng)絡(luò)犯罪份子用在無差別攻擊，以及針對性惡意軟件攻擊上。我在 2009 年和 2010 年記錄了這種技術(shù)，而這里有更多最近的例子。

雖然網(wǎng)絡(luò)犯罪份子利用偷渡式漏洞攻擊碼是為了能夠不分對象地攻擊入侵更多計算機(jī)，而使用這種技術(shù)的 APT 高級持續(xù)性滲透攻擊活動則被 Shadowserver 恰當(dāng)?shù)孛枋鰹?ldquo;策略式網(wǎng)站入侵”。目標(biāo)的選擇是針對攻擊對象會感興趣的特定內(nèi)容。這種攻擊通常會結(jié)合新的偷渡式漏洞攻擊碼。

最近，一個影響微軟 Internet Explorer 的零時差漏洞攻擊碼被發(fā)現(xiàn)位于跟 Nitro 攻擊活動有關(guān)的服務(wù)器上，和最近用來提供 Java 零時差漏洞攻擊碼是同一臺服務(wù)器。它們的有效負(fù)荷都是 Poison Ivy。第二個放有 Internet Explorer 零時差漏洞攻擊碼的網(wǎng)站很快就被發(fā)現(xiàn)，不過它的有效負(fù)荷是 PlugX。

整體而言，我們已經(jīng)發(fā)現(xiàn)了至少 19 個網(wǎng)站包含 IE 零時差漏洞攻擊碼。雖然無法完全的確認(rèn)，但至少有部分網(wǎng)站屬于“水坑”攻擊。

有趣的是，這 19 個網(wǎng)站可以分成 14 組。換言之，除了利用此漏洞的共同點外，他們之間沒有任何明顯的關(guān)連。從其中 11 組中，我們發(fā)現(xiàn)了 11 種不同的有效負(fù)荷（其他三組，我們無法收集到有效負(fù)荷）。

除了和 Nitro 相關(guān)的 Poison Ivy 還有上面所提到的 PlugX 遠(yuǎn)程控制木馬外，趨勢科技發(fā)現(xiàn)了其他熟悉的遠(yuǎn)程控制木馬，和一些不熟悉的（至少對我來說）惡意軟件。其中一個被識別出的遠(yuǎn)程控制木馬是 invitation.{BLOCKED}as.com 的有效負(fù)荷，被稱為“DRAT”遠(yuǎn)程訪問木馬，這是由“Dark Security Team”所開發(fā)的遠(yuǎn)程訪問木馬，并且在網(wǎng)絡(luò)上被廣泛使用。

DRAT 是一個全功能的遠(yuǎn)程訪問木馬，讓攻擊者完全控制入侵的計算機(jī)。這個 DRAT 被設(shè)定連到 {BLOCKED}le.moo.com（{BLOCKED}.{BLOCKED}.229.82）。

另一個特別的木馬程序出現(xiàn)在被入侵的國防新聞網(wǎng)站，會訪問 Elderwood 攻擊者。這個例子中所使用的加殼程序和 Hydraq 木馬程序所使用一樣的加殼程序，這支木馬程序因為被用在對 Google 和其他 30 家公司的 Aurora 攻擊而惡名昭彰。這支木馬（被稱為“NAID”）也是在 2012 年 6 月被嵌入到被入侵人權(quán)組織網(wǎng)站的漏洞攻擊碼的有效負(fù)荷。在這個例子中，一個被入侵的國防相關(guān)新聞網(wǎng)站被放置了會植入 NAID 木馬程序的 IE 零時差漏洞攻擊碼，進(jìn)而連到 support.{BLOCKED}b.com（{BLOCKED}.{BLOCKED}.170.163）。

短時間內(nèi)有多個惡意威脅份子使用相同的零時差漏洞攻擊碼，這可能代表該漏洞攻擊碼被其開發(fā)者分享或出售給多個營運(yùn)商。通常一個零時差漏洞攻擊碼會用在一個特定攻擊活動，再由其他惡意威脅份子所使用，不過是在漏洞修補(bǔ)程序已經(jīng)被釋出時。這次 IE 零時差漏洞攻擊碼的散布模式卻是為了最大化其影響，讓各營運(yùn)商在還沒有修補(bǔ)程序發(fā)表前都可以針對自己的目標(biāo)發(fā)動攻擊。

注釋：作者Jessa dela Torre /Nart Villeneuve現(xiàn)為趨勢科技資深威脅研究員。