CISO's en organisaties streven ernaar om bij te blijven met cyberbeveiligingstools, -technieken en -praktijken. Bedreigingsactoren innoveren echter voortdurend om hen te slim af te zijn. Een van die technieken is de 'watering hole'-aanval. Wanneer je technische ecosysteem beveiligd is en je medewerkers getraind zijn om manipulatie te voorkomen, kunnen cybercriminelen zich richten op services van derden. Dit doen ze om kwetsbaarheden uit te buiten en schade toe te brengen aan uw organisatie.
Geschiedenis van aanvallen op waterbronnen
De term "waterpoel aanval" komt van een oude jachtstrategie. Jagers in de oudheid vonden het lastig om prooien op te jagen. De prooi was namelijk idealiter sneller en veel wendbaarder dan de mens. Een veel betere oplossing was om vallen te plaatsen waar de prooi zich waarschijnlijk verzamelde. Plaatsen zoals een rivier of een drinkplaats trokken deze prooien aan om water te drinken.
Jagers wachten bij de drinkplaats tot hun prooi niet meer op zijn hoede is, zodat ze hem gemakkelijk kunnen pakken. Hetzelfde geldt voor deze opkomende cyberaanvaltechniek.
Watering Hole Aanval Definitie
Een watering hole-aanval is een cyberaanval waarbij bedreigers eindgebruikers in gevaar brengen door websites die ze vaak bezoeken te raden of te observeren. De aanvallers proberen de websites te infecteren met malware om het apparaat van het doelwit te infiltreren. Vervolgens kunnen ze het geïnfecteerde apparaat gebruiken om toegang te krijgen tot het organisatienetwerk van het doelwit.
Een hacker wil bijvoorbeeld de computer van een bedrijf uitbuiten. Maar de cyberbeveiligingssystemen en de cyberhygiënepraktijken van de werknemers voorkomen dat ze kunnen infiltreren. De hacker weet echter dat HR voor elke verjaardag van een werknemer een taart bestelt bij een bepaalde online bakkerij. Nu wachten ze tot HR de website van de bakker bezoekt. Ze zullen malware of uitvoerbare codes op het apparaat van de HR. Zo kunnen ze uiteindelijk het ecosysteem van het bedrijf binnendringen.
Watering hole-aanvallen zijn gevaarlijk omdat ze moeilijk op te sporen en uit te schakelen zijn. Tegen de tijd dat je doorhebt dat ze er zijn, hebben hackers al genoeg schade aangericht aan je bedrijf.
Complete levenscyclus van een waterpoelaanval
Een typische watering hole-aanval verloopt in de volgende fasen:
1. Identificatie van de website
Bedreigende actoren selecteren vaak hun websites met zwakke plekken in de beveiliging, d.w.z. slechte beveiligingspraktijken. Hun doelwitten kunnen medewerkers van een bepaald bedrijf, leden van een specifieke branche of gebruikers van een bepaalde software of service zijn. Ze houden rekening met verschillende factoren bij het selecteren van een ideaal doelwit.
Deze omvatten mogelijkheden tot social engineering, geografische locatie, nabijheid van hun instellingen, verwachte financiële winsten, reputatie, kwetsbaarheden en uitbuitingsgemak.
2. Doelonderzoek
Vervolgens onderzoeken ze het online gedrag en de patronen van het doelwit. Dit helpt hen bij het vinden van een waterpoel (een website van derden die ze regelmatig bezoeken). Dit kunnen nieuwswebsites, industrieforums, bestandsformaatomzetters, online winkelplatforms, websites voor het boeken van tickets, enz. zijn.
3. Infectie
De aanvallers compromitteren een of meer van deze websites door er kwaadaardige code in te injecteren. Deze code kan bezoekers verleiden tot het downloaden van malware op hun computers of apparaten.
4. lokken
Nadat kwaadaardige code is geplaatst in de 'watering hole' website, wachten slechte actoren tot hun doelwitten de gecompromitteerde website bezoeken. Vandaar de analogie met roofdieren die bij een waterpoel wachten op prooien. De geïnfecteerde website is het lokaas voor slachtoffers om in de val te lopen.
5. Exploitatie
Wanneer het slachtoffer de 'watering hole' website bezoekt, wordt zijn computer geïnfecteerd met malware of gecompromitteerd. Dit kan gebeuren via drive-by downloads. Hierbij wordt de malware automatisch gedownload en uitgevoerd zonder medeweten of toestemming van de gebruiker.
6. Afleveren lading
De malware die via de 'watering hole'-website wordt geïnstalleerd, kan verschillende payloads bevatten. Dit hangt af van het doel van de aanvaller. Ongeautoriseerde toegang krijgen tot hun apparaten en netwerken kan een mogelijk doel zijn.
7. Sporen bedekken
Zodra aanvallers hun doel hebben bereikt door het beoogde systeem uit te buiten, proberen ze vaak hun sporen uit te wissen. Dit houdt in dat ze sporen van hun aanwezigheid verwijderen door logbestanden te manipuleren of te verwijderen. Ze kunnen tijdstempels veranderen, specifieke items verwijderen of zelfs knoeien met logconfiguraties om loggen helemaal te voorkomen.
Hackers kunnen zelfs heimelijke technieken gebruiken, zoals rootkits, om hun aanwezigheid op aangetaste systemen te verbergen. Rootkits wijzigen het besturingssysteem om kwaadaardige processen en activiteiten te verbergen.
Voorbeeld uit de praktijk van een aanval op een waterpoel
In 2021, Google's Threat Advisory Group (TAG) een reeks watering hole-aanvallen ontdekt. Deze aanvallen waren gericht op iOS- en macOS-apparaten. De aanvallen vonden voornamelijk plaats in Hongkong. Ze brachten websites in gevaar en een combinatie van kwetsbaarheden, waaronder een zero-day exploit in macOS Catalina (CVE-2021-30869).
De "watering hole points" waren websites die gelinkt waren aan een mediakanaal en een pro-democratische groepering. De aanvallers installeerden een achterdeur op kwetsbare apparaten via de exploit chain. Hierdoor kregen ze een reeks mogelijkheden. Deze omvatten apparaatidentificatie, audio-opname, schermopname, keylogging, bestandsmanipulatie en het uitvoeren van terminalopdrachten met rootprivileges.
Bescherming tegen watering hole-aanvallen
Het voorkomen van watering hole-aanvallen bestaat uit een combinatie van cyberbeveiligingsmaatregelen en bewustzijn bij de gebruiker. Dit is wat u, als eigenaar van een organisatie, kunt doen-
-
Houd je software en plugins up-to-date
Het bijwerken van software en plug-ins is cruciaal voor het handhaven van de beveiliging, omdat updates vaak patches bevatten voor bekende kwetsbaarheden, die bescherming bieden tegen exploits die kunnen leiden tot onbevoegde toegang, gegevenslekken of malware-infecties.
-
Laagste privilege implementeren
Volg het principe van de minste privileges door gebruikers alleen de rechten en toegang te geven die ze nodig hebben om hun werk uit te voeren. Het beperken van gebruikersprivileges kan de impact van succesvolle watering hole aanvallen verminderen. Dit komt omdat het de aanvaller minder mogelijkheden geeft om privileges te escaleren en lateraal te bewegen binnen het netwerk.
-
Netwerk Segmentatie
Verdeel je netwerk in kleinere en geïsoleerde segmenten om de impact van een watering hole-aanval te beperken. Hierdoor kun je de verspreiding van malware controleren en beperken. Het voorkomt ook dat aanvallers toegang krijgen tot gevoelige systemen en gegevens. Door het aanvalsoppervlak te verkleinen, kan er prioriteit worden gegeven aan netwerkverkeer op basis van zakelijke behoeften en kriticiteit. Dit verbetert de prestaties, vermindert opstoppingen en optimaliseert het bandbreedtegebruik.
-
Webfiltering implementeren
Webfiltering voorkomt 'watering hole'-aanvallen door de toegang tot schadelijke websites te blokkeren. oplossingen voor webfiltering kunnen ongeoorloofde exfiltratie van gegevens voorkomen. Oplossingen voor webfiltering kunnen ook onbevoegde exfiltratie van gegevens voorkomen.
Dit wordt bereikt door het blokkeren van uitgaande verbindingen naar bekende commando- en controleservers die door malware worden gebruikt. Dit helpt de impact van watering hole-aanvallen te beperken en te voorkomen dat gevoelige informatie wordt gestolen of gelekt.
-
Oude systemen overboord
Het verwijderen van legacy-systemen beschermt organisaties tegen watering hole-aanvallen. Dit wordt gedaan door verouderde software en infrastructuur die kwetsbaar is voor uitbuiting te elimineren.
Moderne systemen en software zijn uitgerust met ingebouwde beveiligingsfuncties. Deze omvatten geavanceerde encryptieprotocollen, veilige coderingspraktijken en mogelijkheden voor bedreigingsdetectie. Deze functies maken het moeilijker voor aanvallers om systemen en netwerken te compromitteren.
Afronding
Het potentieel voor lucratieve beloningen stimuleert cybercriminelen om watering hole-aanvallen te blijven uitvoeren. Dit omvat het verkrijgen van ongeautoriseerde toegang tot waardevolle bronnen of het verkrijgen van gevoelige gegevens.
Voortdurende controle op watering hole-aanvallen stelt je in staat om robuuste cyberbeveiligingsmaatregelen in te zetten. Zo kunt u nieuwe bedreigingen in het steeds veranderende cyberlandschap voorblijven. Uiteindelijk beschermt dit de reputatie van uw merk en behoudt u het vertrouwen van uw klanten.
Als je je domein wilt beschermen tegen e-mailfraude, heb je onze DMARC-analysator. Meld je aan voor een gratis proefversie om de kracht van e-mailverificatie vandaag nog te ervaren!
