水坑袭击:定义、危险和预防

博客

灌水漏洞攻击会破坏看似无害的网站,并危及贵组织的数据。了解它们的工作原理以及如何加强网络安全。

作者:Ahona Rudra

阅读时间 6 分钟
水坑袭击:定义、危险和预防
目录-

首席信息安全官和组织都在努力跟上网络安全工具、技术和实践的步伐。然而,威胁行为者不断创新,以超越他们。他们使用的一种技术就是灌水孔攻击。当您的技术生态系统得到保护,您的员工接受了避免操纵的培训时,网络犯罪分子可能会将目标对准第三方服务。这样做的目的是利用漏洞对您的组织造成伤害。

主要收获

  1. 灌水漏洞攻击通过入侵用户经常访问的网站来传播恶意软件。
  2. 攻击生命周期包括网站识别、目标研究、感染、引诱和利用等阶段。
  3. 定期更新软件和插件对于减少可能被利用进行灌水漏洞攻击的漏洞至关重要。
  4. 实施网络分段有助于遏制威胁并限制攻击的潜在影响。
  5. 各组织应放弃旧系统,以降低受攻击的可能性,并从现代安全功能中获益。

水坑袭击的历史 

"水坑攻击 "一词源于古代的一种狩猎策略。古代的猎人发现追捕猎物很不方便。这是因为,猎物在理想状态下比人类更快、更敏捷。更好的解决办法是在猎物可能聚集的地方布下陷阱。河边或水坑等地方会吸引这些猎物前来饮水。 

猎人会埋伏在水坑边,等待猎物放松警惕,这样他们就能轻易地将猎物摁倒在地。这种新兴的网络攻击技术也是如此。 

利用 PowerDMARC 防范灌水孔攻击!

开始15天试用 预定演示

水坑袭击定义

灌水漏洞攻击是一种网络攻击,威胁者通过猜测或观察终端用户经常访问的网站来对其进行攻击。攻击者的目的是在网站上感染恶意软件,从而渗透到目标设备中。然后,他们可以利用受感染的设备访问目标的组织网络。  

例如,黑客的目的是利用公司的计算机。但是,公司的网络安全系统和员工的网络卫生习惯阻止了他们的入侵。然而,黑客知道人力资源部为每位员工的生日从某家网上面包店订购蛋糕。现在,他们将等待人力资源部门访问这家蛋糕店的网站。他们将启动 恶意软件或可执行代码到 HR 的设备上。这将最终允许他们进入公司的生态系统。

灌水漏洞攻击很危险,因为它们很难被发现和消除。当你发现它们的存在时,黑客已经对你的公司造成了足够的伤害。 

水洞攻击的完整生命周期

典型的水坑袭击分为以下几个阶段:

1.网站识别

威胁行为者通常会选择存在安全漏洞(即安全措施不完善)的网站。他们的目标可能是特定公司的员工、特定行业的成员或特定软件或服务的用户。在锁定理想目标时,他们会考虑多个因素。 

这些因素包括社会工程学机会、地理位置、是否接近其设置、预期经济收益、声誉、漏洞和利用的难易程度。

2.目标研究

接下来,他们会研究目标的上网行为和模式。这可以帮助他们找到灌水点(他们经常访问的任何第三方网站)。这些网站可以是新闻网站、行业论坛、文件格式转换器、在线购物平台、订票网站等。 

3.感染

攻击者通过向一个或多个网站注入恶意代码来破坏这些网站。这些代码会诱骗访问者将恶意软件下载到他们的电脑或设备上。

4.引诱

在 "灌水点 "网站上设置恶意代码后,坏人就会等待目标访问被入侵的网站。这就好比捕食者在 "灌水点 "等待猎物。受感染的网站就是诱饵,让受害者落入陷阱。

5.开发

当受害者访问 "灌水网站 "时,他们的电脑就会被恶意软件感染或入侵。这可能是通过 "偷渡式下载 "发生的。在这种情况下,恶意软件会在用户不知情或未经用户同意的情况下自动下载并执行。

6.有效载荷交付

通过 "灌水孔 "网站安装的恶意软件可能包含各种有效载荷。这取决于攻击者的目标。未经授权访问他们的设备和网络可能是一个目标。

7.覆盖轨道

一旦攻击者利用目标系统达到了目的,他们通常会试图掩盖自己的踪迹。这包括通过篡改或删除日志文件来消除其存在的痕迹。他们可能会更改时间戳、删除特定条目,甚至篡改日志配置以完全阻止日志记录。

黑客甚至可能使用rootkit等隐蔽技术来隐藏他们在被入侵系统中的存在。Rootkits 会修改操作系统,以隐藏恶意进程和活动。

水房袭击的真实案例

消息来源

2021 年、 谷歌威胁咨询小组(TAG)发现了一系列灌水漏洞攻击。这些攻击针对 iOS 和 macOS 设备。这些攻击主要在香港实施。它们入侵了网站,并结合了多个漏洞,包括一个 零日漏洞MacOS Catalina(CVE-2021-30869)中的零日漏洞。

灌水点是与一家媒体和一个民主团体链接的网站。攻击者通过漏洞链在易受攻击的设备上安装了后门。这为他们提供了一系列功能。这些功能包括设备识别、录音、屏幕捕捉、键盘记录、文件篡改和以 root 权限执行终端命令。

防范灌水孔攻击

防止灌水漏洞攻击需要将网络安全措施和用户意识结合起来。作为组织的所有者,您可以采取以下措施

  • 及时更新软件和插件

不断更新软件和插件对维护安全至关重要,因为更新通常包括已知漏洞的补丁,可防止可能导致未经授权访问、数据泄露或恶意软件感染的漏洞利用。

  • 实施最小特权

遵循最小特权原则,只授予用户执行工作所需的权限和访问权。限制用户权限可以减轻成功的灌水漏洞攻击的影响。这是因为它降低了攻击者升级权限和在网络内横向移动的能力。

  • 网络细分

将网络划分为较小的孤立网段,以限制灌水漏洞攻击的影响。这样可以控制和遏制恶意软件的传播。它还能防止攻击者访问敏感系统和数据。减少攻击面可以根据业务需求和关键性确定网络流量的优先级。这可以提高性能、减少拥塞并优化带宽使用。

  • 实施网络过滤

网络过滤解决方案可以防止未经授权的数据外泄。网络过滤解决方案还可以防止未经授权的数据外泄。 

这是通过阻止与恶意软件使用的已知命令和控制服务器的出站连接来实现的。这有助于控制灌水漏洞攻击的影响,防止敏感信息被窃取或泄露。

  • 抛弃传统系统 

摒弃遗留系统可保护组织免受漏洞攻击。这是通过消除容易被利用的过时软件和基础设施来实现的。

现代系统和软件都配备了内置安全功能。这些功能包括高级加密协议、安全编码实践和威胁检测功能。这些功能使攻击者更难入侵系统和网络。

结束语

潜在的丰厚回报激励着网络犯罪分子继续使用灌水漏洞攻击。这包括未经授权访问有价值的资源或获取敏感数据。

持续监控漏洞攻击可让您部署强大的网络安全措施。这有助于您在不断变化的网络环境中领先于新出现的威胁。最终,这将保障您的品牌声誉,维护客户对您的信任。

如果您希望保护您的域名免受电子邮件欺诈,您需要我们的 DMARC 分析器.注册 免费试用体验电子邮件验证的强大功能!

Ahona Rudra的最新文章(查看全部)
DMARC 为什么会失败?在 2024 年修复 DMARC 故障DMARC失败电子邮件通信中的数据隐私:合规性、风险和最佳实践