隨著越來越多的企業(yè)大量地過濾或者限制員工電子郵件和互聯(lián)網(wǎng)訪問，以防止網(wǎng)絡(luò)釣魚攻擊和其他基于Web的攻擊，攻擊者們開始尋求其他方式來誘騙用戶訪問充滿惡意軟件的網(wǎng)站。

舉個例子：最近美國外交關(guān)系委員會（CFR）的網(wǎng)站遭受可致IE零日攻擊的攻擊，但最終的攻擊目標(biāo)卻并不是CFR。攻擊者使用了被稱為水坑（watering hole）攻擊技術(shù)來攻擊訪問CFR網(wǎng)站的企業(yè)用戶。攻擊者們正在尋求替代辦法用以攻擊有價值信息的企業(yè)，而水坑攻擊被證明是一種有效的滲透方法。

在這篇文章中，我們將討論水坑攻擊采用的方法，以及企業(yè)如何利用虛擬機（VM）的安全性來抵御它們。

水坑技術(shù)

水坑攻擊是支點攻擊的變體，在支點攻擊中，攻擊者能夠從一個系統(tǒng)（最初受害者）轉(zhuǎn)移到另一個系統(tǒng)（預(yù)定目標(biāo)）。這些攻擊主要瞄準(zhǔn)的是目標(biāo)企業(yè)的員工可能會訪問的合法網(wǎng)站。由于廣泛使用，這些網(wǎng)站可能被目標(biāo)企業(yè)以及企業(yè)的各種安全工具列入白名單或者通過預(yù)先批準(zhǔn)。

水坑攻擊的目標(biāo)是使用惡意軟件感染來自目標(biāo)企業(yè)的用戶，從而在該企業(yè)的系統(tǒng)或網(wǎng)絡(luò)站穩(wěn)腳跟。一旦惡意軟件被安裝，攻擊者就會利用這種訪問權(quán)限來攻擊網(wǎng)絡(luò)其他部分。據(jù)稱，水坑方法主要被用于有針對性的間諜攻擊，而Adobe Reader、Java運行時環(huán)境（JRE）、Flash和IE中的零日漏洞被用于安裝惡意軟件。

雖然水坑攻擊方法目前并不常見，但攻擊低安全性目標(biāo)以接近高安全性目標(biāo)是典型的攻擊模式，也是安全部門面臨的頭痛問題。低安全性目標(biāo)可能是業(yè)務(wù)合作伙伴、連接到企業(yè)網(wǎng)絡(luò)的供應(yīng)商，或者是靠近目標(biāo)的咖啡店內(nèi)不安全的無線網(wǎng)絡(luò)。

水坑攻擊還可以通過攻擊目標(biāo)網(wǎng)站使用的廣告網(wǎng)絡(luò)來執(zhí)行。這涉及將惡意網(wǎng)站廣告，或者惡意廣告（文字或圖片）插入到將被傳送到不同網(wǎng)站的跳轉(zhuǎn)廣告。

安全的虛擬機是解決辦法嗎？

標(biāo)準(zhǔn)惡意軟件防御是抵御所有類型的水坑攻擊的起點，但目標(biāo)企業(yè)還應(yīng)該部署額外的安全控制，其中最值得關(guān)注的防御方法是使用安全的VM。企業(yè)可以在虛擬環(huán)境中運行他們的web瀏覽器，在虛擬環(huán)境中，只有對其他生產(chǎn)系統(tǒng)的有限的連接，或者使用Invincea虛擬容器等工具來限制對本地系統(tǒng)的訪問。這將幫助隔離用于訪問不受信任內(nèi)容的工具或系統(tǒng)，從而降低被不受信任系統(tǒng)感染的風(fēng)險。這些虛擬環(huán)境可以只用于批準(zhǔn)的不受信任系統(tǒng)的特定交互，例如瀏覽可能被用于水坑攻擊的網(wǎng)站，或者這些虛擬環(huán)境可以擴展為運行完整的VM來執(zhí)行不受信任的工作，例如打開電子郵件中的附件。完整的VM可以是一次性的VM，每次需要使用時再重建，這樣惡意軟件就不會保存在該VM中。

一旦惡意軟件位于瀏覽器中，請記住，它可能能夠訪問所有瀏覽器能夠訪問的內(nèi)容，即使是在虛擬環(huán)境中。如果受感染的系統(tǒng)訪問內(nèi)部或者外部網(wǎng)站，該惡意軟件還可以捕獲密碼和敏感數(shù)據(jù)，或者從虛擬環(huán)境攻擊其他系統(tǒng)。為了防止這種類型的攻擊，企業(yè)可以刪除或者禁用風(fēng)險系統(tǒng)中最常用的有針對性的軟件，包括JRE、Flash、Adobe Reader和IE。

為了防止其網(wǎng)站被用于執(zhí)行這種類型的攻擊，企業(yè)可以部署流程來確保其網(wǎng)站沒有惡意軟件。在檢查整個網(wǎng)站是否存在惡意軟件時，企業(yè)可以使用與用于保護Web 2.0應(yīng)用相同的技術(shù)。還有些服務(wù)可以每天檢查潛在的惡意軟件，但由于一些web內(nèi)容經(jīng)常變化，每天檢查可能并不夠。谷歌公司的服務(wù)可以檢查網(wǎng)站中的惡意軟件來幫助保護他們的搜索引擎用戶；Comodo、GeoTrust等也提供類似服務(wù)。

RSA還報告稱，被盜的文件傳輸協(xié)議（FTP）證書可用于在受感染網(wǎng)站發(fā)布惡意內(nèi)容。使用FTP來管理企業(yè)網(wǎng)站是高風(fēng)險的，因為用戶名和密碼在未加密的情況下在網(wǎng)絡(luò)中傳輸，而攻擊者可能攔截這些密碼來發(fā)布惡意內(nèi)容。企業(yè)可以對其web服務(wù)器進行配置，對提供內(nèi)容的web服務(wù)器使用只讀文件系統(tǒng)，但這不會影響數(shù)據(jù)庫驅(qū)動的網(wǎng)站，即使用允許發(fā)布內(nèi)容或來自第三方內(nèi)容的web應(yīng)用的網(wǎng)站。所有這些方法都需要安全的web服務(wù)器，針對該web服務(wù)器的漏洞利用不能被用于攻擊底層操作系統(tǒng)。

總結(jié)

雖然水坑攻擊造成的信息安全風(fēng)險很低，企業(yè)必須時刻做好準(zhǔn)備，因為這種有針對性的攻擊是相當(dāng)高效的。攻擊者使用各種不同的攻擊方法來感染工作站，并在網(wǎng)絡(luò)中站穩(wěn)腳跟，為了抵御這些攻擊者，企業(yè)需要保護其端點，并使用縱深防御的原則。同時，有網(wǎng)站的企業(yè)還應(yīng)該保護其網(wǎng)站安全，因為網(wǎng)站可能用來作為水坑攻擊的渠道。