大家若常看動物星球頻道,一定看過鱷魚是如何捕食獵物,他們會埋伏在水坑中,等待來口渴的動物來喝水,再將其獵殺,這就是水坑式攻擊(Watering hole)的意境。水坑攻擊是由駭客先攻擊合法網站,並在網站上植入惡意程式,但駭客真正的目標並非這些網站,而是造訪這些網站的使用者。
在社交工程中,駭客多是主動向目標寄送夾帶惡意檔案或釣魚網址的電子郵件,誘騙目標上鉤;而水坑攻擊則是攻擊目標習慣瀏覽哪些網站,再針對那些網站發動攻擊,等待目標造訪該網站進行水坑攻擊。
水坑攻擊通常必須搭配漏洞一起使用,故相較於社交工程,水坑攻擊所需的技術含量更高。首先駭客需利用如程式碼注入等網站漏洞(之後會有文章詳細介紹網站漏洞),在網站上植入惡意程式,當目標造訪該網站時,再利用植入的惡意程式,對目標的設備發動攻擊。近期著名的案例是Google威脅分析小組在2021年8月所發現,駭客鎖定一個香港媒體網站,以及另一個著名民主團隊的網站展開水坑攻擊,當目標利用iOS或macOS瀏覽被駭網站時,駭客便會利用預先埋藏的惡意程式,攻擊裝置上的漏洞(漏洞編號CVE-2019-8506、CVE-2021-1789及CVE-2021-30869),並且在那些裝置上植入木馬程式。
由於水坑攻擊是透過被駭的合法網站,一般民眾通常不會有戒心,並且也難以防範。此外,水坑攻擊也不僅限於攻擊網站,軟體更新的伺服器、企業內部的共享資料夾,也是一個很好的水坑。攻擊軟體更新的伺服器,替換掉更新包,只要有設備來下載更新包,便會被植入惡意程式。攻擊企業內部的共享資料夾,可以感染資料夾內的檔案,只要有用戶開啟了遭感染的檔案,惡意程式便能擴散到該台設備上,是駭客常用於橫向移動、擴大感染範圍的手法。
由於水坑攻擊是透過攻擊合法網站,再透過遭駭的網站攻擊造訪的用戶,要防禦這種攻擊,網站擁有者必須加強網站的資安防護措施,避免網站遭駭客植入攻擊程式;在新版ISO27001:2022的A.8.23網頁安全防護(Web filtering)特別要求應管理對外部網站的訪問,以減少對惡意內容的暴露風險。網管人員於內部網路需做好權限劃分,不可讓所有使用者皆有共享資料夾的讀寫權限,並需定時掃毒,避免惡意程式感染共享檔案進行擴散,甚至導入零信任(zero trust)的精神,持續驗證使用者的身分、存取權限;而我們一般使用者,能做的就是即時更新安全更新,才能盡可能地降低被駭風險。
-艾斯飛利國際ISMS主任稽核員 Dan Lin
Comments