俗話說：“姜太公釣魚，愿者上鉤。”在今天的信息安全領(lǐng)域，黑客通過實施水坑式攻擊，讓這句古老的諺語背離了其原有的涵義。

　　“在瞄準(zhǔn)目標(biāo)對象之后，黑客并不急于對其展開攻擊，而是先分析對方的行為特點，比如經(jīng)常訪問哪些社交網(wǎng)站、電子商務(wù)網(wǎng)站、天氣預(yù)報或新聞網(wǎng)站，然后攻擊目標(biāo)對象經(jīng)常訪問的網(wǎng)站，植入惡意軟件。一旦用戶點擊瀏覽該網(wǎng)站，木馬病毒就會被植入目標(biāo)對象的終端設(shè)備。”賽門鐵克中國區(qū)安全產(chǎn)品總監(jiān)卜憲錄的描述非常形象，“黑客就像是非洲大草原上在水坑旁埋伏著的獅子一樣，等待獵物自己送上門來。”

　　新“釣魚”手段

　　根據(jù)賽門鐵克發(fā)布的《第十八期互聯(lián)網(wǎng)安全威脅報告》(以下簡稱《報告》)，針對性攻擊在2012年數(shù)量猛增42%。針對性攻擊正在取代DDoS成為主流的攻擊手段。

　　傳統(tǒng)的APT攻擊大多采用魚叉式的攻擊手法。黑客通過有針對性地給攻擊對象發(fā)送垃圾短信或者精心設(shè)計好的欺詐郵件，在附件或鏈接中植入病毒或木馬，用戶只要點擊就會中招。

　　不過，魚叉式攻擊的效果正在減弱。這一方面是由于安全產(chǎn)品對釣魚郵件的偵測能力不斷提高，另一方面是因為企業(yè)的安全意識正在上升。趨勢科技中國區(qū)高級研究員谷亮認(rèn)為：“黑客使用這種方式，只能等待攻擊對象點擊釣魚郵件中的鏈接或者打開郵件附件。但是隨著針對性攻擊事件不斷發(fā)生，人們對釣魚郵件的警覺性正在逐漸增強(qiáng)，使得釣魚郵件的攻擊成功率受到影響。”

　　因此，黑客攻擊的方式呈現(xiàn)出多元化和復(fù)雜化的趨勢。2013年備受矚目的水坑式攻擊就是其中之一。黑客不再直接攻擊最終目標(biāo)，而是轉(zhuǎn)向?qū)Ψ叫湃尾⑶医?jīng)常訪問的網(wǎng)站，當(dāng)攻擊目標(biāo)前往該網(wǎng)站時，木馬病毒就會被植入對方的終端。通過這種新型的APT攻擊方式，黑客屢屢得逞，安全廠商防不勝防。

　　黑客在發(fā)起水坑式攻擊之前，需要針對目標(biāo)對象搜集大量信息，這往往會耗費大量時間，因此水坑式攻擊目前并不普及。盡管如此，其破壞范圍更廣、破壞力更強(qiáng)的特點，足以引起人們的注意。“水坑式攻擊的目標(biāo)通常是商業(yè)組織、人權(quán)組織和政府機(jī)構(gòu)。黑客會盡可能多地攻擊目標(biāo)對象經(jīng)常訪問的網(wǎng)站，從而提高攻擊的成功率。”谷亮告訴本報記者，“人們對于自己經(jīng)常訪問的網(wǎng)站往往不存戒心，水坑式攻擊正是利用了這個警覺性的盲區(qū)實施攻擊的。此外，由于不借助郵件實施攻擊，這類攻擊還降低了被安全產(chǎn)品檢測出來的概率。”

　　水坑式攻擊的影響范圍更廣泛。一旦訪問受攻擊網(wǎng)站，訪問者的終端都會感染相應(yīng)的木馬病毒。“水坑式攻擊可以在極短時間內(nèi)鎖定大量攻擊目標(biāo)。”卜憲錄舉例稱，“2012年，Elderwood Gang在人力資源網(wǎng)站上設(shè)伏，一天之內(nèi)就有500個公司因此受損。這種攻擊的效率遠(yuǎn)遠(yuǎn)超過傳統(tǒng)的魚叉式攻擊，因此破壞力更大。”

　　零日漏洞是幫兇

　　水坑式攻擊之所以能夠迅速捕獲大量攻擊對象，一個重要的原因是它充分利用了網(wǎng)站的漏洞，尤其是零日漏洞。黑客趕在零日漏洞被修補(bǔ)前攻擊，木馬病毒被迅速擴(kuò)散，黑客攻擊的成功率極高。“零日漏洞是黑客發(fā)起水坑式攻擊的土壤。”卜憲錄透露，2012年賽門鐵克檢測到14個新增零日漏洞，盡管這一數(shù)字在所有漏洞中所占的比例并不高，但是威脅極其巨大。

　　同時，合法網(wǎng)站正在被黑客利用，成為其發(fā)起攻擊的武器。比如，黑客可以在網(wǎng)站上購買廣告位，然后將廣告鏈接到非法網(wǎng)站，用戶一旦點擊廣告就會感染黑客事先植入的木馬病毒。卜憲錄表示：“透過合法途徑，黑客很容易獲得網(wǎng)站的控制權(quán)，并且省去了大量用于尋找網(wǎng)站漏洞的時間和精力。”賽門鐵克《報告》顯示，53%合法網(wǎng)站存在未修補(bǔ)的漏洞，24%的合法網(wǎng)站存在未修補(bǔ)的致命漏洞。

　　此外，某些在產(chǎn)業(yè)鏈上占據(jù)重要位置，或者具有知識產(chǎn)權(quán)的中小企業(yè)網(wǎng)站，也成為黑客發(fā)起攻擊的武器。黑客在侵入安全防護(hù)體系較為脆弱的中小企業(yè)后，收集相關(guān)資料，然后向位于其產(chǎn)業(yè)鏈上下游的最終目標(biāo)發(fā)起攻擊。“賽門鐵克調(diào)查發(fā)現(xiàn)，2012年針對員工數(shù)低于250人的公司發(fā)起針對性攻擊的數(shù)量同比大幅增長1.7倍。”卜憲錄認(rèn)為，地下產(chǎn)業(yè)鏈越來越龐大，攻擊工具包越來越普及，攻擊一個網(wǎng)站正變得更加容易。而越來越多的網(wǎng)站遭到攻擊，也為黑客實施水坑式攻擊提供了便利的渠道和土壤。

　　多層次防御

　　由于實施了曲線攻擊方式，攻擊手段隱蔽，水坑式攻擊難以被發(fā)現(xiàn)。正如卜憲錄所言：“水坑式攻擊具有隱蔽性、復(fù)雜性、持續(xù)性等特點，對它的防御絕對不是某一個單點的安全產(chǎn)品或者一個單獨的技術(shù)就能夠?qū)崿F(xiàn)的。”

　　而在中國電子信息產(chǎn)業(yè)發(fā)展研究院信息安全研究所所長劉權(quán)看來，盡管存在難度，發(fā)現(xiàn)水坑式攻擊并非無跡可尋，“企業(yè)要通過安裝防火墻，及時更新所有系統(tǒng)補(bǔ)丁，在多個級別都激活先進(jìn)的入侵檢測系統(tǒng)，并且經(jīng)常檢查相關(guān)數(shù)據(jù)，才能確定是否受到了水坑式攻擊”。

　　趨勢科技《2013年信息安全預(yù)測報告》預(yù)測，2013年水坑式攻擊將被更多黑客組織所利用。攻擊日益復(fù)雜的攻擊， 企業(yè)該如何加強(qiáng)防范呢?

　　對此，賽門鐵克給出了三點建議：

　　第一，提升整個企業(yè)安全防控意識。“提高意識是最重要的。”卜憲錄強(qiáng)調(diào)，如果員工的風(fēng)險意識不夠，企業(yè)網(wǎng)絡(luò)很容易被簡單的社交工程攻擊攻破，這樣的話，即便是企業(yè)有再高的安全防護(hù)技術(shù)和產(chǎn)品，都無濟(jì)于事。

　　第二，建立層次化、結(jié)構(gòu)化的防御手段。“水坑式攻擊的出現(xiàn)對企業(yè)的整個安全防控措施提出了更高的要求，如果員工通過辦公網(wǎng)對外進(jìn)行訪問，企業(yè)應(yīng)該有一套過濾防控手段，判別這個網(wǎng)站是否安全。”卜憲錄認(rèn)為，企業(yè)還需要在網(wǎng)絡(luò)層、數(shù)據(jù)層、應(yīng)用層等各個層面綜合考慮，建立完整的防御體系，而不是單獨依靠某一技術(shù)手段。

　　第三，企業(yè)應(yīng)該特別關(guān)注核心信息的防護(hù)。這是因為黑客發(fā)起水坑式攻擊的目標(biāo)，大多是沖著企業(yè)的核心資產(chǎn)而來。“無論黑客的目的是搞破壞還是開展其他非法活動，都要收集企業(yè)的核心信息。”卜憲錄提醒，企業(yè)保護(hù)好自己的核心數(shù)據(jù)，對于防范水坑式攻擊，以及其他APT攻擊，“都是絕對有幫助的”。

　　此外，從安全廠商的角度看，劉權(quán)認(rèn)為廠商之間的合作是非常有必要的，“安全廠商應(yīng)該通過各種技術(shù)手段，建立情報分享網(wǎng)絡(luò)，幫助客戶了解當(dāng)前整體的網(wǎng)絡(luò)安全態(tài)勢，同時通過專家團(tuán)隊提供咨詢服務(wù)，幫助企業(yè)制定可操作的安全解決方案。”

　　水坑式攻擊著名案例

　　2013年2月，包括蘋果、Facebook和Twitter在內(nèi)的科技公司網(wǎng)站紛紛遭遇了黑客入侵，而這一連串的攻擊都具有一個共同點，就是這些公司的員工都曾經(jīng)訪問過一個頗受歡迎的移動開發(fā)者信息共享網(wǎng)站iPhoneDevSdk。Facebook一名員工瀏覽了這個網(wǎng)站后，該網(wǎng)站HTML中內(nèi)嵌的木馬代碼便利用甲骨文Java漏洞侵入了這名員工的筆記本電腦;Twitter遭受攻擊之后，該網(wǎng)站多達(dá)25萬個用戶的賬號存在安全風(fēng)險。

　　2013年3月，韓國多家媒體和金融機(jī)構(gòu)遭遇黑客的連環(huán)攻擊，其中水坑式攻擊的危害令人心有余悸。黑客通過攻擊韓國本地最大的反病毒廠商AhnLab的更新服務(wù)器，利用更新服務(wù)器下發(fā)惡意程序到終端。當(dāng)終端用戶更新反病毒軟件時，不但不會對終端起到保護(hù)作用， 反而使惡意程序入侵。通過這種手段，黑客迅速擴(kuò)大了攻擊范圍，并使攻擊對象的IT系統(tǒng)癱瘓。