攻擊者定期觀察受害者或特定團(tuán)體經(jīng)常訪問的網(wǎng)站，然后用惡意軟件感染這些網(wǎng)站。然后尋找這些網(wǎng)站的漏洞，并將惡意代碼注入到網(wǎng)站上顯示的廣告或橫幅上。

用于水坑攻擊的惡意軟件通常會收集目標(biāo)的個人信息并將其發(fā)送給攻擊者操作的C&C服務(wù)器。優(yōu)勢，惡意軟件也可以讓攻擊者完全訪問受害者的系統(tǒng)。

[[257653]]

什么是水坑攻擊?

水坑攻擊時一種看似簡單但成功率較高的網(wǎng)絡(luò)攻擊方式。攻擊目標(biāo)多為特定的團(tuán)體(組織、行業(yè)、地區(qū)等)。攻擊者首先通過猜測(或觀察)確定這組目標(biāo)經(jīng)常訪問的網(wǎng)站，然后入侵其中一個或多個網(wǎng)站，植入惡意軟件。在目標(biāo)訪問該網(wǎng)站時，會被重定向到惡意網(wǎng)址或觸發(fā)惡意軟件執(zhí)行，導(dǎo)致該組目標(biāo)中部分成員甚至全部成員被感染。按照這個思路，水坑攻擊其實也可以算是魚叉式釣魚的一種延伸。

早在 2012 年，國外就有研究人員提出了“水坑攻擊”的概念。這種攻擊方式的命名受獅子等猛獸的狩獵方式啟發(fā)。在捕獵時，獅子并不總是會主動出擊，他們有時會埋伏水坑邊上，等目標(biāo)路過水坑停下來喝水的時候，就抓住時機展開攻擊。這樣的攻擊成功率就很高，因為目標(biāo)總是要到水坑“喝水”的。

[[257654]]

水坑攻擊的主要特征

• 多屬于 APT 攻擊，目標(biāo)多為是大型、重要企業(yè)的員工或網(wǎng)站;
• 多利用 0-day 漏洞。

水坑攻擊如何運作?

攻擊者定期觀察受害者或特定團(tuán)體經(jīng)常訪問的網(wǎng)站，然后用惡意軟件感染這些網(wǎng)站。

然后尋找這些網(wǎng)站的漏洞，并將惡意編程代碼(通常以JavaScript或HTML形式)注入到網(wǎng)站上顯示的廣告或橫幅上。

然后惡意代碼會將受害者重定向到存在惡意軟件或惡意廣告的網(wǎng)絡(luò)釣魚網(wǎng)站上。

當(dāng)受害者訪問這些網(wǎng)站時，受害者的計算機就會自動下載包含惡意軟件的腳本。

然后惡意軟件會收集受害者的個人信息，并將其發(fā)送給攻擊者操作的C&C服務(wù)器。

水坑攻擊示例

• 2012 年底，美國外交關(guān)系委員會的網(wǎng)站遭遇水坑攻擊;2013 年初，蘋果、微軟、紐約時報、Facebook、Twitter 等知名大流量網(wǎng)站也相繼中招。國內(nèi)網(wǎng)站也難以幸免：2013 年，西藏政府網(wǎng)站遭遇水坑攻擊;2015 年，百度、阿里等國內(nèi)知名網(wǎng)站也因為 JSONP 漏洞而遭受水坑攻擊。
• 2017年，來自朝鮮的黑客組織Lazarus發(fā)起了水坑攻擊，IP地址顯示此次攻擊影響了來自31個國家/地區(qū)的104個特定組織，大多數(shù)目標(biāo)在波蘭，其次是美國、墨西哥、巴西和智利。
• 2018年，柬埔寨國防部、柬埔寨外交和國際合作部等近21個網(wǎng)站遭到OceanLotus威脅組織發(fā)起的水坑攻擊。

如何免受水坑攻擊?

• 建議將所有軟件更新到最新版本，并及時更新操作系統(tǒng)。
• 正確配置防火墻和其它網(wǎng)絡(luò)安全產(chǎn)品。
• 為了防止水坑攻擊，建議監(jiān)控員工經(jīng)常訪問的網(wǎng)站，確保這些網(wǎng)站中沒有惡意軟件。
• 確保您自己的網(wǎng)站沒有惡意軟件。
• 請使用VPN和瀏覽器的隱私瀏覽功能隱藏您的在線活動。
• 加強有關(guān)水坑攻擊的教育。