Руководители CISO и организаций стараются не отставать от инструментов, методов и практик кибербезопасности. Однако участники угроз постоянно внедряют инновации, чтобы перехитрить их. Одним из таких приемов является атака "водяная яма". Если ваша техническая экосистема защищена, а сотрудники обучены избегать манипуляций, киберпреступники могут нацелиться на сторонние сервисы. Это делается для того, чтобы использовать уязвимости и нанести вред вашей организации.
История нападений на водопой
Термин "атака на водопой" происходит от древней охотничьей стратегии. В древние времена охотникам было неудобно преследовать добычу. Потому что добыча была идеально быстрой и гораздо более проворной, чем человек. Гораздо лучшим решением было ставить ловушки там, где добыча могла собраться. Такие места, как берег реки или водопой, привлекали добычу для питья воды.
Охотники подстерегали добычу у водопоя, когда ее бдительность ослабевала, и тогда они могли легко ее схватить. То же самое можно сказать и об этой новой технике кибератак.
Определение нападения на водопой
Атака на "водяную яму" - это кибератака, в которой субъекты угроз компрометируют конечных пользователей, угадывая или наблюдая за веб-сайтами, которые они часто посещают. Злоумышленники заражают веб-сайты вредоносным ПО, чтобы проникнуть на устройство пользователя. Затем они могут использовать зараженное устройство для получения доступа к сети организации.
Например, хакер хочет взломать компьютер компании. Но системы кибербезопасности и кибергигиена сотрудников не позволяют ему проникнуть в компанию. Однако хакер знает, что HR заказывает торт в определенной онлайн-пекарне на день рождения каждого сотрудника. Теперь они будут ждать, пока HR посетит сайт пекарни. Они запустят вредоносное ПО или исполняемые коды на устройство HR. В конечном итоге это позволит им проникнуть в экосистему компании.
Атаки "водяных дыр" опасны тем, что их трудно обнаружить и устранить. К тому времени, когда вы обнаружите их присутствие, хакеры уже успеют нанести вашей компании достаточно вреда.
Полный жизненный цикл атаки на водопой
Типичная атака на "водопой" разворачивается на следующих этапах:
1. Идентификация веб-сайта
Субъекты угроз часто выбирают веб-сайты с уязвимыми местами в системе безопасности, т. е. с плохими методами защиты. Их целью могут быть сотрудники определенной компании, представители конкретной отрасли, пользователи определенного программного обеспечения или сервиса. При выборе идеальной цели они учитывают несколько факторов.
К ним относятся возможности социальной инженерии, географическое положение, близость к месту установки, ожидаемая финансовая выгода, репутация, уязвимости и простота эксплуатации.
2. Целевое исследование
Далее они изучают поведение и модели поведения цели в Интернете. Это помогает им найти "водопой" (любой сторонний сайт, который они регулярно посещают). Это могут быть новостные сайты, отраслевые форумы, конвертеры форматов файлов, платформы для онлайн-покупок, сайты бронирования билетов и т. д.
3. Инфекция
Злоумышленники взламывают один или несколько таких сайтов, внедряя на них вредоносный код. Этот код может обманом заставить посетителей загрузить вредоносное ПО на свои компьютеры или устройства.
4. Заманивание
После установки вредоносного кода на сайт-"водопой" злоумышленники ждут, когда их цель посетит взломанный сайт. Отсюда аналогия с хищниками, поджидающими добычу у водопоя. Зараженный сайт - это приманка или наживка для жертв, которые попадают в ловушку.
5. Эксплуатация
Когда жертва посещает веб-сайт "водопоя", ее компьютер заражается вредоносным ПО или подвергается компрометации. Это может произойти в результате загрузки с диска. В этом случае вредоносное ПО автоматически загружается и запускается без ведома или согласия пользователя.
6. Доставка полезной нагрузки
Вредоносное ПО, устанавливаемое через сайт "водопой", может содержать различные полезные нагрузки. Это зависит от цели злоумышленника. Возможной целью может быть получение несанкционированного доступа к их устройствам и сетям.
7. Покрытие дорожек
После того как злоумышленники достигли своих целей, эксплуатируя целевую систему, они часто пытаются замести следы. Для этого они удаляют следы своего присутствия, манипулируя или удаляя файлы журналов. Они могут изменять временные метки, удалять определенные записи или даже изменять конфигурацию журнала, чтобы полностью предотвратить запись в него.
Хакеры могут даже использовать скрытные методы, такие как руткиты, чтобы скрыть свое присутствие на взломанных системах. Руткиты изменяют операционную систему, чтобы скрыть вредоносные процессы и действия.
Пример нападения на водопой в реальной жизни
В 2021 году, Консультативная группа по угрозам (TAG) компании Google обнаружила серию атак "водяных дыр". Эти атаки были направлены на устройства под управлением iOS и macOS. В основном атаки проводились в Гонконге. Они взламывали веб-сайты и использовали комбинацию уязвимостей, включая эксплойт нулевого дня в macOS Catalina (CVE-2021-30869).
В качестве "водопоя" использовались сайты, связанные с одним из СМИ и продемократической группой. Злоумышленники устанавливали бэкдор на уязвимые устройства через цепочку эксплойтов. Это давало им целый ряд возможностей. Среди них - идентификация устройства, аудиозапись, захват экрана, кейлоггинг, манипуляции с файлами и выполнение команд терминала с привилегиями root.
Защита от атак "водяных дыр
Предотвращение атак на "водяные дыры" предполагает сочетание мер кибербезопасности и осведомленности пользователей. Вот что вы, как владелец организации, можете сделать.
-
Обновляйте программное обеспечение и плагины
Обновление программного обеспечения и плагинов очень важно для поддержания безопасности, поскольку обновления часто включают исправления для известных уязвимостей, защищая от эксплойтов, которые могут привести к несанкционированному доступу, утечке данных или заражению вредоносным ПО.
-
Внедрение наименьших привилегий
Следуйте принципу наименьших привилегий, предоставляя пользователям только те разрешения и доступ, которые необходимы для выполнения их работы. Ограничение привилегий пользователей может уменьшить последствия успешных атак "водяных дыр". Это связано с тем, что уменьшается возможность злоумышленника повышать привилегии и перемещаться по сети.
-
Сегментация сети
Разделите свою сеть на более мелкие и изолированные сегменты, чтобы ограничить воздействие атаки "водяных дыр". Это позволит вам контролировать и сдерживать распространение вредоносного ПО. Это также предотвратит доступ злоумышленников к важным системам и данным. Уменьшение площади атаки позволяет установить приоритеты сетевого трафика в зависимости от потребностей и критичности бизнеса. Это повышает производительность, снижает перегрузки и оптимизирует использование полосы пропускания.
-
Внедрение веб-фильтрации
Веб-фильтрация предотвращает атаки "водяных дыр", блокируя доступ к вредоносным веб-сайтам. Решения веб-фильтрации могут предотвратить несанкционированную утечку данных. Решения для веб-фильтрации также могут предотвратить несанкционированную утечку данных.
Это достигается путем блокирования исходящих соединений с известными командно-контрольными серверами, используемыми вредоносным ПО. Это помогает сдержать воздействие атак "водяных дыр" и предотвратить кражу или утечку конфиденциальной информации.
-
Откажитесь от устаревших систем
Отказ от устаревших систем защищает организации от атак типа "водяная дыра". Это достигается за счет отказа от устаревшего программного обеспечения и инфраструктуры, уязвимой для эксплуатации.
Современные системы и программное обеспечение оснащены встроенными средствами защиты. К ним относятся передовые протоколы шифрования, методы безопасного кодирования и средства обнаружения угроз. Благодаря этим функциям злоумышленникам становится сложнее взламывать системы и сети.
Подведение итогов
Возможность получения выгодного вознаграждения побуждает киберпреступников продолжать использовать атаки типа "водяная дыра". Это включает в себя получение несанкционированного доступа к ценным ресурсам или получение конфиденциальных данных.
Постоянный мониторинг атак на "водяные дыры" позволит вам принять надежные меры кибербезопасности. Это поможет вам опережать возникающие угрозы в постоянно развивающемся киберландшафте. В конечном итоге это защищает репутацию вашего бренда и сохраняет доверие клиентов.
Если вы хотите защитить свой домен от почтового мошенничества, вам нужен наш DMARC-анализатор. Зарегистрируйтесь для бесплатная пробная версия чтобы испытать силу аутентификации электронной почты уже сегодня!
- DMARC MSP Case Study: CloudTech24 упрощает управление безопасностью домена для клиентов с помощью PowerDMARC - 24 октября 2024 г.
- Риски, связанные с безопасностью при отправке конфиденциальной информации по электронной почте - 23 октября 2024 г.
- 5 видов мошенничества с электронной почтой службы социального обеспечения и способы их предотвращения - 3 октября 2024 г.