水坑攻擊,監視公司的一舉一動?這裡教你如何防禦!

2020-12-20 超級盾雲防禦

轉自Mcafee Labs,作者German Lancioni

水坑攻擊巧妙而危險的動態

一組研究人員最近公布了利用多個iPhone漏洞利用網站感染最終目標的研究結果。這類攻擊背後的關鍵概念是使用可信的網站作為攻擊他人的中間平臺,它被定義為水坑攻擊。

再通俗一點講,就是在受害者必經之路設置了一個「水坑(陷阱)」。最常見的做法是,黑客分析攻擊目標的上網活動規律,尋找攻擊目標經常訪問的網站的弱點,先將此網站「攻破」並植入攻擊代碼,一旦攻擊目標訪問該網站就會「中招」。

它是如何工作的?

你們的組織是一個堅不可摧的堡壘,實施了每一項網絡安全措施。壞蛋很難破壞您的系統。但是,如果最薄弱的環節不是您的組織,而是第三方呢?這就是「跳島」攻擊可以摧毀你的堡壘的地方。

「跳島」是一種軍事戰略,目的是集中力量在戰略位置較弱的島嶼上,以接近最後一個主要陸地目標。

「跳島」的一個相關例子是水坑攻擊。水坑攻擊的動機是攻擊者的挫敗感。如果他們不能到達目標,也許他們可以妥協一個較弱的次級目標,然後獲得接近目標?組織中的員工總是與第三方網站和服務進行交互。

可以是供應商、供應鏈中的實體,甚至是公開可用的網站。即使您的組織可能具有最先進的安全外圍保護,與您交互的第三方可能沒有。

在這種類型的攻擊中,壞人開始對員工進行剖析,以找出他們通常使用的網站或服務。什麼是最常訪問的新聞博客?他們更喜歡哪家航空公司?他們使用哪個服務提供商來檢查工資單?目標組織所在的行業類型、員工的職業興趣等是什麼?

基於這一分析,他們分析了員工訪問的眾多網站中哪些是薄弱和脆弱的。當他們發現一個,下一步是危害這個第三方網站注入惡意代碼,託管惡意軟體,感染現有/受信任的下載,或重定向到釣魚網站竊取證書。

一旦網站被入侵,他們就會等待目標組織的員工訪問網站並被感染,有時會更加直接,比如發送給員工的釣魚郵件。

有時,這需要某種形式的交互,例如員工使用文件上傳表單、下載以前受信任的PDF報告或試圖從合法的站點重定向後登錄釣魚站點。最後,黑客將從受感染的員工設備橫向移動到期望的最終目標。

圖1:水坑攻擊動態

水坑攻擊的受害者不僅是最終目標,而且是參與攻擊鏈的戰略組織。例如,2019年3月發現一起水坑襲擊事件,目標是聯合國成員國,將國際民航組織(ICAO)作為中間目標[1]。

由於國際民航組織是預定目標經常訪問的網站,它受到了利用易受攻擊的伺服器的攻擊。去年的另一個例子是一個由20多個新聞和媒體網站組成的團體,他們作為中間目標被攻擊,以達到越南和柬埔寨的特定目標[2]。

風險分析

由於此類攻擊依賴於脆弱但可信的第三方網站,因此通常不會引起注意,也不容易與進一步的數據洩露聯繫起來。為了確保你的風險分析考慮到了這種潛在的威脅,你需要問以下幾個問題:

互動網站和服務有多安全?

第三方的安全利益是否與我的一致?(提示:可能不是!您可能急於修補您的web伺服器,但這並不意味著第三方站點也在這麼做)。

水坑攻擊有什麼影響?

對於每種威脅,重要的是分析這種威脅的可能性以及攻擊者實現它的難度。這將因組織而異,但是一種通用的方法是分析最流行的網站。

在查看全球排名前100萬的網站時,有趣的是,其中60%左右的網站使用內容管理系統(cms),如WordPress、Joomla或Drupal。

這帶來了一個額外的挑戰,因為從統計上看,這些流行的CMSs更有可能出現在組織的網絡流量中,因此更有可能成為水坑攻擊的目標。

因此,每月發現和利用CMSs上的幾十個漏洞就不足為奇了(在過去兩年中,僅前4個CMSs[4]就發現了大約1000個漏洞)。

更令人擔憂的是,CMSs被設計成與其他服務集成並使用插件進行擴展(到目前為止,已有超過55,000個插件可用)。這進一步擴展了攻擊面,因為它創造了損害這些框架所使用的小型庫/插件的機會。

因此,CMSs經常成為水坑攻擊的目標,通過利用漏洞使壞人能夠控制伺服器/站點,修改其內容以達到惡意目的。在一些高級場景中,他們還會添加指紋腳本來檢查IP位址、時區和其他有關受害者的有用細節。

根據這些數據,當受害者不是目標公司的員工時,黑客可以自動決定放手還是繼續,或者當他們捉住中了頭彩的受害者時,他們可以進一步進入攻擊鏈。

防禦水坑攻擊

隨著組織加強其安全姿態,壞行為者正被推向新的邊界。因此,水坑攻擊得到了越來越多的關注,因為這些攻擊允許壞人攻擊中間目標(更脆弱的目標),以便以後能夠接近預定的最終目標。

為了幫助您的組織免受水坑攻擊,請確保包含了web保護。即使用戶正在訪問一個遭受水坑攻擊的站點,它也可以幫助提供針對特定類型攻擊的額外防禦。你也可以:

建立一個零信任模型,特別是圍繞訪問公共站點的員工,以確保即使一個酒吧攻擊針對的是您的組織,您也可以阻止它繼續前進。

定期檢查您的組織的網絡流量,以確定您的員工可能接觸到的易受攻擊的第三方網站。

檢查組織的提供者公開的網站和服務。這些是否足夠安全,並適當修補?如果沒有,考慮這些可能成為中間目標的可能性,並應用策略來限制對這些站點的暴露(例如,如果這是一個選項,就不允許下載)。

在可能的情況下,向提供者發出關於未修補的web伺服器、CMS框架或庫的警告,以便他們能夠迅速降低風險。

處理水坑攻擊要求我們更加關注和仔細審查我們訪問的網站,即使這些網站被列為受信任的網站。通過這樣做,我們不僅可以降低水坑攻擊的風險,還可以避免數據洩露的可能途徑。

聲明:我們尊重原創者版權,除確實無法確認作者外,均會註明作者和來源。轉載文章僅供個人學習研究,同時向原創作者表示感謝,若涉及版權問題,請及時聯繫小編刪除!

精彩在後面

Hi,我是超級盾

超級盾能做到:防得住、用得起、接得快、玩得好、看得見、雙向數據加密!

截至到目前,超級盾成功抵禦史上最大2.47T黑客DDoS攻擊,超級盾具有無限防禦DDoS、100%防CC的優勢。

相關焦點

  • 抵禦水坑攻擊:使用安全的虛擬機
    攻擊者使用了被稱為水坑(watering hole)攻擊技術來攻擊訪問CFR網站的企業用戶。攻擊者們正在尋求替代辦法用以攻擊有價值信息的企業,而水坑攻擊被證明是一種有效的滲透方法。  在這篇文章中,我們將討論水坑攻擊採用的方法,以及企業如何利用虛擬機(VM)的安全性來抵禦它們。
  • 水坑攻擊的原理和預防措施
    水坑攻擊相對於通過社會工程方式引誘目標用戶訪問惡意網站更具欺騙性,效率也更高。水坑方法主要被用於有針對性的攻擊,而Adobe Reader、Java運行時環境(JRE)、Flash和IE中的零漏洞被用於安裝惡意軟體歸根結底水坑攻擊採用的是一種社會工程技術,網絡攻擊者會發現並觀察目標組織或公司的偏愛網站。
  • 網絡安全和水坑攻擊
    「 水坑攻擊 」是網絡犯罪分子用來破壞組織在線信息系統的眾多技術之一。網絡安全管理員應該了解水坑攻擊是如何工作的,以及如何防範它們。水坑攻擊這句話來自自然界的掠食者,他們潛伏在水坑附近,等待他們想要的獵物。在網絡水坑攻擊中,網絡犯罪分子在網站上設置了陷阱,他們的目標受害者經常被發現。 通常情況下,陷阱網站是較小的,利基網站往往安全性有限。
  • 賽門鐵克:瞄準中小企業的「水坑式攻擊」增加
    【相關新聞】 蘋果的未來在「雲端」 袖珍數位相機如何突破困境挑戰智慧型手機? 圖1:賽門鐵克日本公司安全響應部門高級經理浜田讓治在介紹此次的報告 賽門鐵克日本公司安全響應部門高級經理浜田讓治解釋說,「中小企業容易攻擊」。與大企業相比,安全體制不夠完善的中小規模企業更容易被盯上。
  • 公司該如何防禦高級持續威脅?
    公司該如何防禦高級持續威脅? 任何易受攻擊的基礎架構都可能被破壞。現在,對於所有組織來說,了解APT的運行方式和實施必要的安全措施以減輕威脅的程度至關重要。
  • 「中毒新聞行動」——黑客利用後門對香港iOS用戶發起水坑攻擊
    「中毒新聞行動」——黑客利用後門對香港iOS用戶發起水坑攻擊 這是一場旨在利用iOS後門感染香港用戶的運動,該iOS後門被命名為lightSpy,可使攻擊者接管設備。
  • 馭凡學堂 魚叉釣魚郵件 水坑等攻擊手法是什麼?
    從目前已知的情況看,UpBit交易所可能遭到魚叉釣魚郵件、水坑等攻擊手法,獲取到交易所內部員工甚至高管的PC權限後實施的進一步攻擊。並且有消息報導曾有朝鮮黑客與5月28日使用網絡釣魚手法通過電子郵件向Upbit交易所用戶發送釣魚郵件進行網絡攻擊。同理,這次Upbit事件也有可能是遭到魚叉釣魚郵件、水坑等攻擊手法。
  • 淺談APT攻擊的檢測與防禦
    從針對Google等公司的極光行動(2009年)、Stuxnet病毒攻擊事件(2010年)到McAfee公司公布的針對西方能源公司的夜龍行動(2011)、RSA SecureID遭竊取事件(2011年),以及近期的針對韓國金融和政府機構的遭受的網絡攻擊(2013年),相信大家對「APT攻擊」這個概念並不陌生,那麼什麼是APT攻擊,我們該如何進行正確的認識
  • 什麼是CC攻擊?如何有效防禦?
    CC攻擊其實屬於DDoS攻擊的一種,其原理就是攻擊者控制某些主機不停地發大量數據包給對方伺服器造成伺服器資源耗盡,一直到宕機崩潰。這種攻擊普遍都是流量不是很高,但是破壞性非常大,直接導致系統服務掛了無法正常服務。CC攻擊因其見效快、成本低、難追蹤,是黑客最常用的攻擊類型之一。
  • 人工智慧監控學生課堂一舉一動 被指侵犯隱私 網友:這不就是監視
    9月2日,一張人工智慧監控學生課堂一舉一動的圖片引起網友熱議。據該圖片顯示,某科技公司利用人工智慧技術,清晰的記錄了學生在課堂舉手、閱讀、聽講等行為的次數。網友三:有這些科技不用再社會發展上,專搞這些讓人不舒服的東西,這和監視有區別嗎?網友四:課堂?監視?那你直接把學生換成機器人吧,讓幹嘛就幹嘛,絕對服從!
  • 日與那國島雷達覆蓋臺灣 監視一舉一動【2】
    原標題:日與那國島雷達覆蓋臺灣 監視一舉一動 與那國島雷達存疑 日本防衛省計劃依照陸上自衛隊「沿岸監視隊」模式,在與那國島上部署約150名自衛隊員,任務是監視包括釣魚島周邊在內的東海水域。 根據設置計劃圖,日本自衛隊在與那國島上甚至有田徑場、體育館等基礎訓練設施,可見日本對該島的投資絕對是長期經營。
  • 超級雷達部署到家門口,時刻監視美軍一舉一動
    軍事基地大都是扮演著搜集情報與監視的角色,其飛彈防防禦系統軍事作用比較明顯,就是用於軍事作戰。在搜集信息方面還有一個起關鍵作用的東西,這個東西就是雷達,雖然可民用,但在軍事上它的應用必不可少,是航空的必備裝備,不僅可以監視各種飛機,而且還可監視天上飛過來的飛彈。讓你提前做好防備,如今有不少國家對雷達實現更新改造,不斷升級,這方面美軍長期處於領先地位,是監視世界各國的重要工具。
  • 深度探討:陰陽師防禦與攻擊計算公式
    【陰陽師評測】陰陽師防禦與攻擊計算公式目前還沒有統一的計算公式,本篇就攻擊與防禦的測試數值來探討一番,相信接下來新資料片的更新,有了好友對戰之後會更加完善。    那麼,因為攻擊效率不同,說明著減傷比率並不因為防禦值固定而固定,而且遇到攻擊力強的減傷的少,遇到攻擊力弱的減傷的多;就像彈簧一樣,你強它就弱,你弱它就強。
  • DDOS攻擊怎麼防禦?
    高防伺服器主要是指IDC領域的IDC機房或者線路有防禦DDOS能力的伺服器。主要是比普通服 務器多了防禦服務,一般都是在機房出口架設了專門的硬體防火牆設備以及流量清洗牽引設備等, 用來防禦常見的CC攻擊,DDOS,SYN攻擊。就目前的標準衡量,網盾高防伺服器是指能獨立防禦100G以上的伺服器。
  • 如何使用DHCP snooping防禦網絡攻擊?
    事實上,這種沒有得到重視的情況就意味著供應商也可能會忽略這種攻擊。DHCP snooping就是一種可用於防禦許多常見攻擊的防控技術。  DHCP可能受到幾種不同方式的攻擊,其中包括惡意DHCP伺服器或本地交換網絡的地址解析協議(ARP)汙染。並非所有意外事件都屬於惡意攻擊。
  • 高速上如何過水坑?一不小心就沒命了!
    高速上遇到水坑到底應該怎麼通過,假設遇到水坑,躲不開,那就軋上去,我之前告訴我車友嗎?不讓當遇到水坑也不能亂打方向,這一點一定要切記,但是這種情況更不能踩剎車,松油門之後握著方向盤就可以了,知道為什麼嗎?
  • 公司坐墊竟是「監視器」上班一舉一動被監視細思極恐
    知頓1月6日報導,很多人的公司裡辦公區安裝監控已經是非常普遍的現象了,起到安全的作用,但你有沒有想過,有一天,公司發給你的福利坐墊竟然成為了監視你工作狀態的「監視器」?近日,一公司員工爆料,自己就遭到了公司這種形式的「監控」。
  • 常見網絡攻擊之CC攻擊&防禦手段!莫錯過!
    CC攻擊是DDoS(分布式拒絕服務)的一種,相比其它的DDoS攻擊CC似乎更有技術含量一些。這種攻擊你見不到虛假IP,見不到特別大的異常流量,但造成伺服器無法進行正常連接,一條ADSL的普通用戶足以掛掉一臺高性能的Web伺服器。
  • 黑客攻擊會讓你崩潰無比!
    安全意識這個老生常談問題,無論怎樣告誡,還是該亂點擊點擊,說了很多遍不要安裝來路不明的軟體還是一樣安裝,不要打開來路不明的附件出於好奇看了看,等等網絡問題總是在不經意間發生,同時也有很多黑客對企業進行攻擊,今天,賽亞安全就跟大家聊聊具體問題。
  • SolarWinds公司的Orion軟體遭遇網絡攻擊:為什麼難以發現
    黑客組織「Cozy Bear」的網絡攻擊破壞了SolarWinds公司開發的名為「Orion「的網絡和應用程式監視平臺,然後使用這一訪問權限來生成木馬並將其分發給軟體用戶。對SolarWinds公司的軟體供應鏈進行攻擊還使黑客能夠訪問美國網絡安全服務商FireEye公司的網絡,這一漏洞於日前宣布,儘管FireEye公司沒有透露網絡攻擊者的名稱,但據《華盛頓郵報》報導,網絡攻擊者可能是「APT29「或「Cozy Bear」。FireEye公司在日前發布的一份諮詢報告中表示:「我們已在全球多個實體中檢測到這一活動。