转自Mcafee Labs，作者German Lancioni

水坑攻击巧妙而危险的动态

一组研究人员最近公布了利用多个iphone漏洞利用网站感染最终目标的研究结果。这类攻击背后的关键概念是使用可信的网站作为攻击他人的中间平台，它被定义为水坑攻击。

再通俗一点讲，就是在受害者必经之路设置了一个“水坑(陷阱)”。最常见的做法是，黑客分析攻击目标的上网活动规律，寻找攻击目标经常访问的网站的弱点，先将此网站“攻破”并植入攻击代码，一旦攻击目标访问该网站就会“中招”。

它是如何工作的?

你们的组织是一个坚不可摧的堡垒，实施了每一项网络安全措施。坏蛋很难破坏您的系统。但是，如果最薄弱的环节不是您的组织，而是第三方呢?这就是“跳岛”攻击可以摧毁你的堡垒的地方。

“跳岛”是一种军事战略，目的是集中力量在战略位置较弱的岛屿上，以接近最后一个主要陆地目标。

“跳岛”的一个相关例子是水坑攻击。水坑攻击的动机是攻击者的挫败感。如果他们不能到达目标，也许他们可以妥协一个较弱的次级目标，然后获得接近目标?组织中的员工总是与第三方网站和服务进行交互。

可以是供应商、供应链中的实体，甚至是公开可用的网站。即使您的组织可能具有最先进的安全外围保护，与您交互的第三方可能没有。

在这种类型的攻击中，坏人开始对员工进行剖析，以找出他们通常使用的网站或服务。什么是最常访问的新闻博客?他们更喜欢哪家航空公司?他们使用哪个服务提供商来检查工资单?目标组织所在的行业类型、员工的职业兴趣等是什么?

基于这一分析，他们分析了员工访问的众多网站中哪些是薄弱和脆弱的。当他们发现一个，下一步是危害这个第三方网站注入恶意代码，托管恶意软件，感染现有/受信任的下载，或重定向到钓鱼网站窃取证书。

一旦网站被入侵，他们就会等待目标组织的员工访问网站并被感染，有时会更加直接，比如发送给员工的钓鱼邮件。

有时，这需要某种形式的交互，例如员工使用文件上传表单、下载以前受信任的PDF报告或试图从合法的站点重定向后登录钓鱼站点。最后，黑客将从受感染的员工设备横向移动到期望的最终目标。

图1:水坑攻击动态

水坑攻击的受害者不仅是最终目标，而且是参与攻击链的战略组织。例如，2019年3月发现一起水坑袭击事件，目标是联合国成员国，将国际民航组织(ICAO)作为中间目标[1]。

由于国际民航组织是预定目标经常访问的网站，它受到了利用易受攻击的服务器的攻击。去年的另一个例子是一个由20多个新闻和媒体网站组成的团体，他们作为中间目标被攻击，以达到越南和柬埔寨的特定目标[2]。

风险分析

由于此类攻击依赖于脆弱但可信的第三方网站，因此通常不会引起注意，也不容易与进一步的数据泄露联系起来。为了确保你的风险分析考虑到了这种潜在的威胁，你需要问以下几个问题:

互动网站和服务有多安全?

第三方的安全利益是否与我的一致?(提示:可能不是!您可能急于修补您的web服务器，但这并不意味着第三方站点也在这么做)。

水坑攻击有什么影响?

对于每种威胁，重要的是分析这种威胁的可能性以及攻击者实现它的难度。这将因组织而异，但是一种通用的方法是分析最流行的网站。

在查看全球排名前100万的网站时，有趣的是，其中60%左右的网站使用内容管理系统(cms)，如wordPress/ target=_blank class=infotextkey>WordPress、Joomla或Drupal。

这带来了一个额外的挑战，因为从统计上看，这些流行的CMSs更有可能出现在组织的网络流量中，因此更有可能成为水坑攻击的目标。

因此，每月发现和利用CMSs上的几十个漏洞就不足为奇了(在过去两年中，仅前4个CMSs[4]就发现了大约1000个漏洞)。

更令人担忧的是，CMSs被设计成与其他服务集成并使用插件进行扩展(到目前为止，已有超过55,000个插件可用)。这进一步扩展了攻击面，因为它创造了损害这些框架所使用的小型库/插件的机会。

因此，CMSs经常成为水坑攻击的目标，通过利用漏洞使坏人能够控制服务器/站点，修改其内容以达到恶意目的。在一些高级场景中，他们还会添加指纹脚本来检查IP地址、时区和其他有关受害者的有用细节。

根据这些数据，当受害者不是目标公司的员工时，黑客可以自动决定放手还是继续，或者当他们捉住中了头彩的受害者时，他们可以进一步进入攻击链。

防御水坑攻击

随着组织加强其安全姿态，坏行为者正被推向新的边界。因此，水坑攻击得到了越来越多的关注，因为这些攻击允许坏人攻击中间目标(更脆弱的目标)，以便以后能够接近预定的最终目标。

为了帮助您的组织免受水坑攻击，请确保包含了web保护。即使用户正在访问一个遭受水坑攻击的站点，它也可以帮助提供针对特定类型攻击的额外防御。你也可以:

建立一个零信任模型，特别是围绕访问公共站点的员工，以确保即使一个酒吧攻击针对的是您的组织，您也可以阻止它继续前进。

定期检查您的组织的网络流量，以确定您的员工可能接触到的易受攻击的第三方网站。

检查组织的提供者公开的网站和服务。这些是否足够安全，并适当修补?如果没有，考虑这些可能成为中间目标的可能性，并应用策略来限制对这些站点的暴露(例如，如果这是一个选项，就不允许下载)。

在可能的情况下，向提供者发出关于未修补的web服务器、CMS框架或库的警告，以便他们能够迅速降低风险。

处理水坑攻击要求我们更加关注和仔细审查我们访问的网站，即使这些网站被列为受信任的网站。通过这样做，我们不仅可以降低水坑攻击的风险，还可以避免数据泄露的可能途径。

声明：我们尊重原创者版权，除确实无法确认作者外，均会注明作者和来源。转载文章仅供个人学习研究，同时向原创作者表示感谢，若涉及版权问题，请及时联系小编删除！