Атака Watering hole «водопой» - это уязвимость безопасности, при которой злоумышленник стремится скомпрометировать определенную группу конечных пользователей, заражая веб-сайты, которые, как известно, посещают члены этой группы. Цель состоит в том, чтобы заразить компьютер целевого пользователя и получить доступ к сети на его рабочем месте.
Watering hole attack
Термин watering hole attack происходит от слова «охота». Вместо того чтобы выслеживать добычу на большом расстоянии, охотник определяет, куда она может пойти, чаще всего к водоему - «водопою», - и поджидает ее там. Когда добыча приходит по своей воле, часто с ослабленной бдительностью, охотник нападает.
Жертвой может быть человек, организация или группа людей. Злоумышленник изучает свои цели - как правило, это сотрудники крупных предприятий, правозащитных организаций, религиозных групп или правительственных учреждений - и определяет, какие сайты они посещают. Зачастую это доски объявлений или сайты общего характера, популярные среди целевой аудитории.
Несмотря на то что атаки типа «водяная яма» - явление нечастое, они представляют собой значительную угрозу, поскольку их трудно обнаружить, и обычно они направлены на высокозащищенные организации через их менее сознательных в плане безопасности сотрудников, деловых партнеров или подключенных поставщиков. А поскольку они могут нарушать несколько уровней безопасности, они могут быть чрезвычайно разрушительными.
Атаки «водяных дыр» - один из видов атак социальной инженерии - также называются «водяными дырами», «атаками водяных дыр» или стратегически взломанными веб-сайтами.
Как работает атака «водопоя»?
Атака «водопой» включает в себя цепочку событий, инициированных злоумышленником для получения доступа к жертве. Однако атакующий не выбирает жертву напрямую.
Сначала злоумышленник определяет веб-сайт или сервис, которым жертва уже пользуется и с которым хорошо знакома. Как правило, целевой сайт имеет относительно низкий уровень безопасности, часто посещается и пользуется популярностью у предполагаемой жертвы. Затем злоумышленник компрометирует целевой сайт и внедряет на него полезную нагрузку в виде вредоносного кода, часто в форме JavaScript или языка гипертекстовой разметки (HTML). Когда жертва посещает взломанный сайт, полезная нагрузка запускается, и начинается цепочка эксплойтов для заражения компьютера жертвы. Полезная нагрузка может быть автоматической, или же атака может вызвать появление фальшивого запроса, предлагающего пользователю выполнить дополнительное действие, которое приведет к загрузке вредоносного кода. Цепочка эксплойтов может быть как уже существующей и хорошо известной, так и новой, созданной злоумышленником.
После запуска полезной нагрузки на компьютере жертвы злоумышленник может получить доступ к другим ресурсам в сети и использовать этот компьютер для проведения поворотной атаки с целью достижения других целей. Целями могут быть сбор информации о жертве, использование компьютера жертвы в качестве части сети ботов или попытка использовать другие компьютеры в сети жертвы.
Другие эксплойты безопасности, похожие на атаки «водяных дыр
Атака «водяной дыры» похожа на другие тактики, используемые киберпреступниками:
- Атака по цепочке поставок. Как при атаке по цепочке поставок, так и при атаке «водяной дыры» злоумышленник взламывает сторонний сервис, чтобы заразить другие системы. Однако при атаках по цепочке поставок обычно взламывается продукт, приобретенный целью, а не нейтральные веб-сайты, взломанные при атаке «водяных дыр».
- Атака «медовой точки». Атака honeypot представляет собой привлекательную цель, которая побуждает жертву предпринять какие-либо действия, в то время как атака watering hole направлена на существующий сайт, которым жертва уже пользуется.
- Атака «человек посередине» (MitM). При MitM-атаке злоумышленник перехватывает и читает или изменяет сообщение между жертвой и сторонним сайтом, но сам сайт при этом не взламывается.
- Перехват. Атака «с хвоста» похожа тем, что злоумышленник следует вплотную за доверенным лицом, чтобы получить доступ, но чаще всего это физическая атака.
Как предотвратить атаку «водяной дыры
Эти шаги и оперативные требования помогут избежать атак «водяных дыр»:
- Используйте передовые методы обеспечения компьютерной безопасности. Поскольку атаки на «водяные дыры» часто представляют собой веб-эксплойты, следование опубликованным передовым практикам и рекомендациям по укреплению компьютера может предотвратить запуск цепочки эксплойтов.
- Не разрешайте использовать корпоративные ресурсы в личных целях. Блокируйте доступ к веб-сайтам, которые не используются для работы, и не позволяйте пользователям заходить на веб-сайты для личного общения.
- Не добавляйте права доступа к сторонним сайтам. Некоторые сайты требуют дополнительных разрешений для правильной работы. Проведите аудит или просто не допускайте таких исключений, поскольку они могут позволить злоумышленникам использовать сайт в будущем.
- Обучите пользователей распознавать странное поведение и избегать нарушений. Пользователи могут небрежно относиться к сайтам, которые они часто посещают, поэтому их следует научить не переходить по подозрительным ссылкам и не обходить предупреждения о безопасности.
- Сканируйте и контролируйте интернет-трафик. Используйте веб-прокси, которые могут проверять содержимое в режиме реального времени, отслеживать распространенные эксплойты и использовать веб-журналы для обнаружения подозрительной активности.
