隨著越來(lái)越多的企業(yè)大量地過(guò)濾或者限制員工電子郵件和互聯(lián)網(wǎng)訪問(wèn)，以防止網(wǎng)絡(luò)釣魚(yú)攻擊和其他基于Web的攻擊，攻擊者們開(kāi)始尋求其他方式來(lái)誘騙用戶(hù)訪問(wèn)充滿(mǎn)惡意軟件的網(wǎng)站。

舉個(gè)例子：最近美國(guó)外交關(guān)系委員會(huì)（CFR）的網(wǎng)站遭受可致IE零日攻擊的攻擊，但最終的攻擊目標(biāo)卻并不是CFR。攻擊者使用了被稱(chēng)為水坑（watering hole）攻擊技術(shù)來(lái)攻擊訪問(wèn)CFR網(wǎng)站的企業(yè)用戶(hù)。攻擊者們正在尋求替代辦法用以攻擊有價(jià)值信息的企業(yè)，而水坑攻擊被證明是一種有效的滲透方法。

在這篇文章中，我們將討論水坑攻擊采用的方法，以及企業(yè)如何利用虛擬機(jī)（VM）的安全性來(lái)抵御它們。

水坑技術(shù)

水坑攻擊是支點(diǎn)攻擊的變體，在支點(diǎn)攻擊中，攻擊者能夠從一個(gè)系統(tǒng)（最初受害者）轉(zhuǎn)移到另一個(gè)系統(tǒng)（預(yù)定目標(biāo)）。這些攻擊主要瞄準(zhǔn)的是目標(biāo)企業(yè)的員工可能會(huì)訪問(wèn)的合法網(wǎng)站。由于廣泛使用，這些網(wǎng)站可能被目標(biāo)企業(yè)以及企業(yè)的各種安全工具列入白名單或者通過(guò)預(yù)先批準(zhǔn)。

水坑攻擊的目標(biāo)是使用惡意軟件感染來(lái)自目標(biāo)企業(yè)的用戶(hù)，從而在該企業(yè)的系統(tǒng)或網(wǎng)絡(luò)站穩(wěn)腳跟。一旦惡意軟件被安裝，攻擊者就會(huì)利用這種訪問(wèn)權(quán)限來(lái)攻擊網(wǎng)絡(luò)其他部分。據(jù)稱(chēng)，水坑方法主要被用于有針對(duì)性的間諜攻擊，而Adobe Reader、Java運(yùn)行時(shí)環(huán)境（JRE）、Flash和IE中的零日漏洞被用于安裝惡意軟件。

雖然水坑攻擊方法目前并不常見(jiàn)，但攻擊低安全性目標(biāo)以接近高安全性目標(biāo)是典型的攻擊模式，也是安全部門(mén)面臨的頭痛問(wèn)題。低安全性目標(biāo)可能是業(yè)務(wù)合作伙伴、連接到企業(yè)網(wǎng)絡(luò)的供應(yīng)商，或者是靠近目標(biāo)的咖啡店內(nèi)不安全的無(wú)線(xiàn)網(wǎng)絡(luò)。

水坑攻擊還可以通過(guò)攻擊目標(biāo)網(wǎng)站使用的廣告網(wǎng)絡(luò)來(lái)執(zhí)行。這涉及將惡意網(wǎng)站廣告，或者惡意廣告（文字或圖片）插入到將被傳送到不同網(wǎng)站的跳轉(zhuǎn)廣告。

安全的虛擬機(jī)是解決辦法嗎？

標(biāo)準(zhǔn)惡意軟件防御是抵御所有類(lèi)型的水坑攻擊的起點(diǎn)，但目標(biāo)企業(yè)還應(yīng)該部署額外的安全控制，其中最值得關(guān)注的防御方法是使用安全的VM。企業(yè)可以在虛擬環(huán)境中運(yùn)行他們的web瀏覽器，在虛擬環(huán)境中，只有對(duì)其他生產(chǎn)系統(tǒng)的有限的連接，或者使用Invincea虛擬容器等工具來(lái)限制對(duì)本地系統(tǒng)的訪問(wèn)。這將幫助隔離用于訪問(wèn)不受信任內(nèi)容的工具或系統(tǒng)，從而降低被不受信任系統(tǒng)感染的風(fēng)險(xiǎn)。這些虛擬環(huán)境可以只用于批準(zhǔn)的不受信任系統(tǒng)的特定交互，例如瀏覽可能被用于水坑攻擊的網(wǎng)站，或者這些虛擬環(huán)境可以擴(kuò)展為運(yùn)行完整的VM來(lái)執(zhí)行不受信任的工作，例如打開(kāi)電子郵件中的附件。完整的VM可以是一次性的VM，每次需要使用時(shí)再重建，這樣惡意軟件就不會(huì)保存在該VM中。

一旦惡意軟件位于瀏覽器中，請(qǐng)記住，它可能能夠訪問(wèn)所有瀏覽器能夠訪問(wèn)的內(nèi)容，即使是在虛擬環(huán)境中。如果受感染的系統(tǒng)訪問(wèn)內(nèi)部或者外部網(wǎng)站，該惡意軟件還可以捕獲密碼和敏感數(shù)據(jù)，或者從虛擬環(huán)境攻擊其他系統(tǒng)。為了防止這種類(lèi)型的攻擊，企業(yè)可以刪除或者禁用風(fēng)險(xiǎn)系統(tǒng)中最常用的有針對(duì)性的軟件，包括JRE、Flash、Adobe Reader和IE。

為了防止其網(wǎng)站被用于執(zhí)行這種類(lèi)型的攻擊，企業(yè)可以部署流程來(lái)確保其網(wǎng)站沒(méi)有惡意軟件。在檢查整個(gè)網(wǎng)站是否存在惡意軟件時(shí)，企業(yè)可以使用與用于保護(hù)Web 2.0應(yīng)用相同的技術(shù)。還有些服務(wù)可以每天檢查潛在的惡意軟件，但由于一些web內(nèi)容經(jīng)常變化，每天檢查可能并不夠。谷歌公司的服務(wù)可以檢查網(wǎng)站中的惡意軟件來(lái)幫助保護(hù)他們的搜索引擎用戶(hù)；Comodo、GeoTrust等也提供類(lèi)似服務(wù)。

RSA還報(bào)告稱(chēng)，被盜的文件傳輸協(xié)議（FTP）證書(shū)可用于在受感染網(wǎng)站發(fā)布惡意內(nèi)容。使用FTP來(lái)管理企業(yè)網(wǎng)站是高風(fēng)險(xiǎn)的，因?yàn)橛脩?hù)名和密碼在未加密的情況下在網(wǎng)絡(luò)中傳輸，而攻擊者可能攔截這些密碼來(lái)發(fā)布惡意內(nèi)容。企業(yè)可以對(duì)其web服務(wù)器進(jìn)行配置，對(duì)提供內(nèi)容的web服務(wù)器使用只讀文件系統(tǒng)，但這不會(huì)影響數(shù)據(jù)庫(kù)驅(qū)動(dòng)的網(wǎng)站，即使用允許發(fā)布內(nèi)容或來(lái)自第三方內(nèi)容的web應(yīng)用的網(wǎng)站。所有這些方法都需要安全的web服務(wù)器，針對(duì)該web服務(wù)器的漏洞利用不能被用于攻擊底層操作系統(tǒng)。

總結(jié)

雖然水坑攻擊造成的信息安全風(fēng)險(xiǎn)很低，企業(yè)必須時(shí)刻做好準(zhǔn)備，因?yàn)檫@種有針對(duì)性的攻擊是相當(dāng)高效的。攻擊者使用各種不同的攻擊方法來(lái)感染工作站，并在網(wǎng)絡(luò)中站穩(wěn)腳跟，為了抵御這些攻擊者，企業(yè)需要保護(hù)其端點(diǎn)，并使用縱深防御的原則。同時(shí)，有網(wǎng)站的企業(yè)還應(yīng)該保護(hù)其網(wǎng)站安全，因?yàn)榫W(wǎng)站可能用來(lái)作為水坑攻擊的渠道。