CISOs und Unternehmen bemühen sich, mit den Tools, Techniken und Praktiken der Cybersicherheit Schritt zu halten. Bedrohungsakteure entwickeln jedoch ständig neue Methoden, um sie zu überlisten. Eine dieser Techniken ist der Watering-Hole-Angriff. Auch wenn Ihr technisches Ökosystem gesichert ist und Ihre Mitarbeiter darin geschult sind, Manipulationen zu vermeiden, können Cyberkriminelle Dienste von Drittanbietern angreifen. Dies geschieht, um Schwachstellen auszunutzen und Ihrem Unternehmen Schaden zuzufügen.
Geschichte der Watering Hole-Angriffe
Der Begriff "Wasserlochangriff" geht auf eine alte Jagdstrategie zurück. Jäger in der Antike fanden es lästig, ihre Beute zu jagen. Denn die Beute war im Idealfall schneller und viel beweglicher als der Mensch. Eine viel bessere Lösung war es, Fallen dort aufzustellen, wo sich die Beute wahrscheinlich versammelte. Orte wie Flussufer oder Wasserstellen zogen die Beute an, um Wasser zu trinken.
Jäger lauerten an der Wasserstelle darauf, dass die Wachsamkeit ihrer Beute nachließ, damit sie sie leicht festsetzen konnten. Das Gleiche gilt für diese neue Technik des Cyberangriffs.
Definition eines Wasserloch-Angriffs
Bei einem Watering-Hole-Angriff handelt es sich um einen Cyberangriff, bei dem Bedrohungsakteure Endbenutzer kompromittieren, indem sie Websites erraten oder beobachten, die sie häufig besuchen. Die Angreifer versuchen, die Websites mit Malware zu infizieren, um das Gerät der Zielperson zu infiltrieren. Dann können sie das infizierte Gerät nutzen, um sich Zugang zum Unternehmensnetzwerk des Ziels zu verschaffen.
Ein Hacker versucht zum Beispiel, den Computer eines Unternehmens auszunutzen. Die Cybersicherheitssysteme und die Cyberhygiene der Mitarbeiter verhindern jedoch, dass er eindringt. Der Hacker weiß jedoch, dass die Personalabteilung für jeden Geburtstag eines Mitarbeiters einen Kuchen bei einer bestimmten Online-Bäckerei bestellt. Nun warten sie darauf, dass die Personalabteilung die Website des Bäckers besucht. Sie werden Malware oder ausführbare Codes auf das Gerät der Personalabteilung. Dadurch können sie schließlich in das Ökosystem des Unternehmens eindringen.
Watering-Hole-Angriffe sind gefährlich, weil sie schwer zu erkennen und zu beseitigen sind. Bis Sie ihre Anwesenheit bemerken, haben die Hacker schon genug Schaden in Ihrem Unternehmen angerichtet.
Vollständiger Lebenszyklus eines Wasserlochangriffs
Ein typischer Angriff auf ein Wasserloch läuft in folgenden Phasen ab:
1. Website-Identifizierung
Bedrohungsakteure wählen ihre Websites oft mit Sicherheitsschwachstellen, d. h. mit schlechten Sicherheitspraktiken, aus. Ihre Ziele könnten Mitarbeiter eines bestimmten Unternehmens, Angehörige einer bestimmten Branche oder Nutzer einer bestimmten Software oder eines bestimmten Dienstes sein. Bei der Auswahl eines idealen Ziels berücksichtigen sie mehrere Faktoren.
Dazu gehören Social-Engineering-Möglichkeiten, der geografische Standort, die Nähe zu ihrer Einrichtung, erwartete finanzielle Gewinne, der Ruf, Schwachstellen und die Leichtigkeit des Missbrauchs.
2. Ziel Forschung
Als Nächstes untersuchen sie das Online-Verhalten und die Muster der Zielperson. Dies hilft ihnen, eine Anlaufstelle zu finden (jede Drittanbieter-Website, die sie regelmäßig besuchen). Dabei kann es sich um Nachrichten-Websites, Branchenforen, Dateiformat-Konverter, Online-Shopping-Plattformen, Ticketbuchungs-Websites usw. handeln.
3. Infektion
Die Angreifer kompromittieren eine oder mehrere dieser Websites, indem sie bösartigen Code in sie einschleusen. Dieser Code kann Besucher dazu verleiten, Malware auf ihre Computer oder Geräte herunterzuladen.
4. Anlocken
Nachdem bösartiger Code in die "Wasserloch"-Website eingeschleust wurde, warten die Angreifer darauf, dass ihre Opfer die kompromittierte Website besuchen. Daher auch die Analogie zu Raubtieren, die an einem Wasserloch auf Beute warten. Die infizierte Website ist der Köder, der die Opfer in die Falle lockt.
5. Ausbeutung
Wenn das Opfer die "Wasserloch"-Website besucht, wird sein Computer mit Malware infiziert oder kompromittiert. Dies kann durch Drive-by-Downloads geschehen. In diesem Fall wird die Malware automatisch heruntergeladen und ohne das Wissen oder die Zustimmung des Benutzers ausgeführt.
6. Lieferung der Nutzlast
Die über die "Watering Hole"-Website installierte Malware kann verschiedene Nutzdaten enthalten. Dies hängt vom Ziel des Angreifers ab. Ein mögliches Ziel ist es, unbefugten Zugang zu ihren Geräten und Netzwerken zu erhalten.
7. Gleise abdecken
Sobald die Angreifer ihre Ziele erreicht haben, indem sie das Zielsystem ausnutzen, versuchen sie oft, ihre Spuren zu verwischen. Dazu gehört die Beseitigung von Spuren ihrer Anwesenheit durch Manipulation oder Löschung von Protokolldateien. Sie können Zeitstempel ändern, bestimmte Einträge löschen oder sogar die Protokollkonfigurationen manipulieren, um die Protokollierung gänzlich zu verhindern.
Hacker können sogar heimliche Techniken wie Rootkits verwenden, um ihre Anwesenheit auf kompromittierten Systemen zu verbergen. Rootkits verändern das Betriebssystem, um bösartige Prozesse und Aktivitäten zu verbergen.
Realitätsnahes Beispiel eines Wasserloch-Angriffs
Im Jahr 2021, Googles Threat Advisory Group (TAG) eine Reihe von Watering-Hole-Angriffen aufgedeckt. Diese Angriffe zielten auf iOS- und macOS-Geräte ab. Die Angriffe wurden hauptsächlich in Hongkong durchgeführt. Sie griffen Websites an und nutzten eine Kombination von Sicherheitslücken, darunter eine Zero-Day-Schwachstelle in macOS Catalina (CVE-2021-30869).
Die Einfallstore waren Websites, die mit einem Medienunternehmen und einer pro-demokratischen Gruppe verbunden waren. Die Angreifer installierten über die Exploit-Kette eine Backdoor auf anfälligen Geräten. Dadurch erhielten sie eine Reihe von Möglichkeiten. Dazu gehörten Geräteidentifizierung, Audioaufzeichnung, Bildschirmaufzeichnung, Keylogging, Dateimanipulation und die Ausführung von Terminalbefehlen mit Root-Rechten.
Schutz vor Watering Hole-Angriffen
Die Verhinderung von Angriffen durch Wasserlöcher erfordert eine Kombination aus Cybersicherheitsmaßnahmen und Sensibilisierung der Benutzer. Hier ist, was Sie als Eigentümer einer Organisation tun können.
-
Halten Sie Ihre Software und Plugins auf dem neuesten Stand
Die Aktualisierung von Software und Plugins ist für die Aufrechterhaltung der Sicherheit von entscheidender Bedeutung, da Updates häufig Patches für bekannte Schwachstellen enthalten, die vor Angriffen schützen, die zu unbefugtem Zugriff, Datenverletzungen oder Malware-Infektionen führen können.
-
Least Privilege einführen
Befolgen Sie das Prinzip der geringsten Privilegien, indem Sie den Benutzern nur die Berechtigungen und den Zugriff gewähren, die sie für die Ausführung ihrer Aufgaben benötigen. Die Einschränkung von Benutzerrechten kann die Auswirkungen erfolgreicher Watering Hole-Angriffe abschwächen. Dies liegt daran, dass der Angreifer dadurch weniger Möglichkeiten hat, seine Privilegien zu erweitern und sich seitlich im Netzwerk zu bewegen.
-
Segmentierung des Netzes
Teilen Sie Ihr Netzwerk in kleinere und isolierte Segmente auf, um die Auswirkungen eines Watering-Hole-Angriffs zu begrenzen. So können Sie die Verbreitung von Malware kontrollieren und eindämmen. Außerdem wird verhindert, dass Angreifer auf sensible Systeme und Daten zugreifen können. Die Verringerung der Angriffsfläche ermöglicht eine Priorisierung des Netzwerkverkehrs auf der Grundlage von Geschäftsanforderungen und Kritikalität. Dadurch wird die Leistung verbessert, die Überlastung reduziert und die Bandbreitennutzung optimiert.
-
Web-Filterung implementieren
Webfilter verhindern Watering-Hole-Angriffe, indem sie den Zugriff auf bösartige Websites blockieren. Webfilter-Lösungen können auch die unerlaubte Datenexfiltration verhindern. Web-Filterlösungen können auch die unbefugte Datenexfiltration verhindern.
Dies wird erreicht, indem ausgehende Verbindungen zu bekannten Befehls- und Kontrollservern, die von Malware verwendet werden, blockiert werden. Dies trägt dazu bei, die Auswirkungen von Watering-Hole-Angriffen einzudämmen und zu verhindern, dass sensible Informationen gestohlen oder weitergegeben werden.
-
Veraltete Systeme abschaffen
Die Beseitigung von Altsystemen schützt Unternehmen vor Watering Hole-Angriffen. Dies geschieht durch die Beseitigung veralteter Software und Infrastrukturen, die für Angriffe anfällig sind.
Moderne Systeme und Software sind mit integrierten Sicherheitsfunktionen ausgestattet. Dazu gehören fortschrittliche Verschlüsselungsprotokolle, sichere Kodierungsverfahren und Funktionen zur Erkennung von Bedrohungen. Diese Funktionen machen es Angreifern schwerer, Systeme und Netzwerke zu kompromittieren.
Einpacken
Die Aussicht auf lukrative Belohnungen ist für Cyberkriminelle ein Anreiz, weiterhin Watering-Hole-Angriffe durchzuführen. Dazu gehört auch der unbefugte Zugang zu wertvollen Ressourcen oder der Zugriff auf sensible Daten.
Die kontinuierliche Überwachung auf Watering-Hole-Angriffe ermöglicht es Ihnen, robuste Cybersicherheitsmaßnahmen zu ergreifen. So sind Sie neuen Bedrohungen in der sich ständig weiterentwickelnden Cyberlandschaft immer einen Schritt voraus. Letztendlich schützt dies den Ruf Ihrer Marke und erhält das Vertrauen der Kunden.
Wenn Sie Ihre Domain vor E-Mail-Betrug schützen möchten, benötigen Sie unseren DMARC-Analysator. Registrieren Sie sich für eine kostenlose Testversion und erleben Sie die Leistungsfähigkeit der E-Mail-Authentifizierung noch heute!
- Die 10 besten Tipps und Strategien zum E-Mail-Schutz - 15. Mai 2024
- Kann Blockchain helfen, die E-Mail-Sicherheit zu verbessern? - 9. Mai 2024
- Rechenzentrum-Proxies: Enthüllung des Arbeitspferdes der Proxy-Welt - 7. Mai 2024