張珊珊

水坑攻擊是一種看似簡單但成功率較高的網(wǎng)絡(luò)攻擊方式。攻擊目標(biāo)多為特定的團(tuán)體（組織、行業(yè)及地區(qū)等）。攻擊者首先通過猜測（或觀察）確定這組目標(biāo)經(jīng)常訪問的網(wǎng)站，然后入侵其中一個或多個網(wǎng)站，植入惡意軟件。在目標(biāo)訪問該網(wǎng)站時，會被重定向到惡意網(wǎng)址或觸發(fā)惡意軟件執(zhí)行，導(dǎo)致該組目標(biāo)中部分成員甚至全部成員被感染。按照這個思路，水坑攻擊其實也可以算是魚叉式釣魚的一種延伸。

早在2012年，國外就有研究人員提出了“水坑攻擊”的概念。這種攻擊方式的命名受獅子等猛獸的狩獵方式啟發(fā)。在捕獵時，獅子并不總是會主動出擊，他們有時會埋伏水坑邊上，等目標(biāo)路過水坑停下來喝水的時候，就抓住時機(jī)展開攻擊。這樣的攻擊成功率就很高，因為目標(biāo)總是要到水坑“喝水”的。

水坑攻擊的主要特征

多屬于APT攻擊，目標(biāo)一般是大型、重要企業(yè)的員工或網(wǎng)站，且多是利用0-day漏洞。

水坑攻擊如何運作？

攻擊者定期觀察受害者或特定團(tuán)體經(jīng)常訪問的網(wǎng)站，然后用惡意軟件感染這些網(wǎng)站。然后尋找這些網(wǎng)站的漏洞，并將惡意編程代碼（通常以JavaScript或HTML形式）注入到網(wǎng)站上顯示的廣告或橫幅上。然后惡意代碼會將受害者重定向到存在惡意軟件或惡意廣告的網(wǎng)絡(luò)釣魚網(wǎng)站上。當(dāng)受害者訪問這些網(wǎng)站時，受害者的計算機(jī)就會自動下載包含惡意軟件的腳本。然后惡意軟件會收集受害者的個人信息，并將其發(fā)送給攻擊者操作的C&C服務(wù)器。

水坑攻擊案例

2012年底，美國外交關(guān)系委員會的網(wǎng)站遭遇水坑攻擊；

2013年初，蘋果、微軟、紐約時報、Facebook和Twitter等知名大流量網(wǎng)站也相繼中招；

國內(nèi)網(wǎng)站也難以幸免：2013年，西藏政府網(wǎng)站就曾遭遇水坑攻擊；

2015年，百度、阿里等國內(nèi)知名網(wǎng)站也因為JSONP漏洞而遭受水坑攻擊。

2017年，黑客組織Lazarus發(fā)起了水坑攻擊，IP地址顯示此次攻擊影響了來自31個國家和地區(qū)的104個特定組織，大多數(shù)目標(biāo)在波蘭，其次是美國、墨西哥、巴西和智利。

2018年，柬埔寨國防部、柬埔寨外交和國際合作部等近21個網(wǎng)站遭到OceanLotus威脅組織發(fā)起的水坑攻擊。

如何免受水坑攻擊？

建議將所有軟件更新到最新版本，并及時更新操作系統(tǒng)；

正確配置防火墻和其他網(wǎng)絡(luò)安全產(chǎn)品；

為了防止水坑攻擊，建議監(jiān)控員工經(jīng)常訪問的網(wǎng)站，確保這些網(wǎng)站中沒有惡意軟件；

確保自己的網(wǎng)站沒有惡意軟件；

使用VPN和瀏覽器的隱私瀏覽功能隱藏在線活動；

加強(qiáng)有關(guān)水坑攻擊的教育。