水坑式攻擊讓用戶防不勝防
俗話說:“姜太公釣魚,愿者上鉤。”在今天的信息安全領(lǐng)域,黑客通過實施水坑式攻擊,讓這句古老的諺語背離了其原有的涵義。
“在瞄準目標對象之后,黑客并不急于對其展開攻擊,而是先分析對方的行為特點,比如經(jīng)常訪問哪些社交網(wǎng)站、電子商務(wù)網(wǎng)站、天氣預(yù)報或新聞網(wǎng)站,然后攻擊目標對象經(jīng)常訪問的網(wǎng)站,植入惡意軟件。一旦用戶點擊瀏覽該網(wǎng)站,木馬病毒就會被植入目標對象的終端設(shè)備。”賽門鐵克中國區(qū)安全產(chǎn)品總監(jiān)卜憲錄的描述非常形象,“黑客就像是非洲大草原上在水坑旁埋伏著的獅子一樣,等待獵物自己送上門來。”
新“釣魚”手段
根據(jù)賽門鐵克發(fā)布的《第十八期互聯(lián)網(wǎng)安全威脅報告》(以下簡稱《報告》),針對性攻擊在2012年數(shù)量猛增42%。針對性攻擊正在取代DDoS成為主流的攻擊手段。
傳統(tǒng)的APT攻擊大多采用魚叉式的攻擊手法。黑客通過有針對性地給攻擊對象發(fā)送垃圾短信或者精心設(shè)計好的欺詐郵件,在附件或鏈接中植入病毒或木馬,用戶只要點擊就會中招。
不過,魚叉式攻擊的效果正在減弱。這一方面是由于安全產(chǎn)品對釣魚郵件的偵測能力不斷提高,另一方面是因為企業(yè)的安全意識正在上升。趨勢科技中國區(qū)高級研究員谷亮認為:“黑客使用這種方式,只能等待攻擊對象點擊釣魚郵件中的鏈接或者打開郵件附件。但是隨著針對性攻擊事件不斷發(fā)生,人們對釣魚郵件的警覺性正在逐漸增強,使得釣魚郵件的攻擊成功率受到影響。”
因此,黑客攻擊的方式呈現(xiàn)出多元化和復(fù)雜化的趨勢。2013年備受矚目的水坑式攻擊就是其中之一。黑客不再直接攻擊最終目標,而是轉(zhuǎn)向?qū)Ψ叫湃尾⑶医?jīng)常訪問的網(wǎng)站,當攻擊目標前往該網(wǎng)站時,木馬病毒就會被植入對方的終端。通過這種新型的APT攻擊方式,黑客屢屢得逞,安全廠商防不勝防。
黑客在發(fā)起水坑式攻擊之前,需要針對目標對象搜集大量信息,這往往會耗費大量時間,因此水坑式攻擊目前并不普及。盡管如此,其破壞范圍更廣、破壞力更強的特點,足以引起人們的注意。“水坑式攻擊的目標通常是商業(yè)組織、人權(quán)組織和政府機構(gòu)。黑客會盡可能多地攻擊目標對象經(jīng)常訪問的網(wǎng)站,從而提高攻擊的成功率。”谷亮告訴本報記者,“人們對于自己經(jīng)常訪問的網(wǎng)站往往不存戒心,水坑式攻擊正是利用了這個警覺性的盲區(qū)實施攻擊的。此外,由于不借助郵件實施攻擊,這類攻擊還降低了被安全產(chǎn)品檢測出來的概率。”
水坑式攻擊的影響范圍更廣泛。一旦訪問受攻擊網(wǎng)站,訪問者的終端都會感染相應(yīng)的木馬病毒。“水坑式攻擊可以在極短時間內(nèi)鎖定大量攻擊目標。”卜憲錄舉例稱,“2012年,Elderwood Gang在人力資源網(wǎng)站上設(shè)伏,一天之內(nèi)就有500個公司因此受損。這種攻擊的效率遠遠超過傳統(tǒng)的魚叉式攻擊,因此破壞力更大。”
零日漏洞是幫兇
水坑式攻擊之所以能夠迅速捕獲大量攻擊對象,一個重要的原因是它充分利用了網(wǎng)站的漏洞,尤其是零日漏洞。黑客趕在零日漏洞被修補前攻擊,木馬病毒被迅速擴散,黑客攻擊的成功率極高。“零日漏洞是黑客發(fā)起水坑式攻擊的土壤。”卜憲錄透露,2012年賽門鐵克檢測到14個新增零日漏洞,盡管這一數(shù)字在所有漏洞中所占的比例并不高,但是威脅極其巨大。
同時,合法網(wǎng)站正在被黑客利用,成為其發(fā)起攻擊的武器。比如,黑客可以在網(wǎng)站上購買廣告位,然后將廣告鏈接到非法網(wǎng)站,用戶一旦點擊廣告就會感染黑客事先植入的木馬病毒。卜憲錄表示:“透過合法途徑,黑客很容易獲得網(wǎng)站的控制權(quán),并且省去了大量用于尋找網(wǎng)站漏洞的時間和精力。”賽門鐵克《報告》顯示,53%合法網(wǎng)站存在未修補的漏洞,24%的合法網(wǎng)站存在未修補的致命漏洞。
此外,某些在產(chǎn)業(yè)鏈上占據(jù)重要位置,或者具有知識產(chǎn)權(quán)的中小企業(yè)網(wǎng)站,也成為黑客發(fā)起攻擊的武器。黑客在侵入安全防護體系較為脆弱的中小企業(yè)后,收集相關(guān)資料,然后向位于其產(chǎn)業(yè)鏈上下游的最終目標發(fā)起攻擊。“賽門鐵克調(diào)查發(fā)現(xiàn),2012年針對員工數(shù)低于250人的公司發(fā)起針對性攻擊的數(shù)量同比大幅增長1.7倍。”卜憲錄認為,地下產(chǎn)業(yè)鏈越來越龐大,攻擊工具包越來越普及,攻擊一個網(wǎng)站正變得更加容易。而越來越多的網(wǎng)站遭到攻擊,也為黑客實施水坑式攻擊提供了便利的渠道和土壤。
多層次防御
由于實施了曲線攻擊方式,攻擊手段隱蔽,水坑式攻擊難以被發(fā)現(xiàn)。正如卜憲錄所言:“水坑式攻擊具有隱蔽性、復(fù)雜性、持續(xù)性等特點,對它的防御絕對不是某一個單點的安全產(chǎn)品或者一個單獨的技術(shù)就能夠?qū)崿F(xiàn)的。”
而在中國電子信息產(chǎn)業(yè)發(fā)展研究院信息安全研究所所長劉權(quán)看來,盡管存在難度,發(fā)現(xiàn)水坑式攻擊并非無跡可尋,“企業(yè)要通過安裝防火墻,及時更新所有系統(tǒng)補丁,在多個級別都激活先進的入侵檢測系統(tǒng),并且經(jīng)常檢查相關(guān)數(shù)據(jù),才能確定是否受到了水坑式攻擊”。
趨勢科技《2013年信息安全預(yù)測報告》預(yù)測,2013年水坑式攻擊將被更多黑客組織所利用。攻擊日益復(fù)雜的攻擊, 企業(yè)該如何加強防范呢?
對此,賽門鐵克給出了三點建議:
第一,提升整個企業(yè)安全防控意識。“提高意識是最重要的。”卜憲錄強調(diào),如果員工的風險意識不夠,企業(yè)網(wǎng)絡(luò)很容易被簡單的社交工程攻擊攻破,這樣的話,即便是企業(yè)有再高的安全防護技術(shù)和產(chǎn)品,都無濟于事。
第二,建立層次化、結(jié)構(gòu)化的防御手段。“水坑式攻擊的出現(xiàn)對企業(yè)的整個安全防控措施提出了更高的要求,如果員工通過辦公網(wǎng)對外進行訪問,企業(yè)應(yīng)該有一套過濾防控手段,判別這個網(wǎng)站是否安全。”卜憲錄認為,企業(yè)還需要在網(wǎng)絡(luò)層、數(shù)據(jù)層、應(yīng)用層等各個層面綜合考慮,建立完整的防御體系,而不是單獨依靠某一技術(shù)手段。
第三,企業(yè)應(yīng)該特別關(guān)注核心信息的防護。這是因為黑客發(fā)起水坑式攻擊的目標,大多是沖著企業(yè)的核心資產(chǎn)而來。“無論黑客的目的是搞破壞還是開展其他非法活動,都要收集企業(yè)的核心信息。”卜憲錄提醒,企業(yè)保護好自己的核心數(shù)據(jù),對于防范水坑式攻擊,以及其他APT攻擊,“都是絕對有幫助的”。
此外,從安全廠商的角度看,劉權(quán)認為廠商之間的合作是非常有必要的,“安全廠商應(yīng)該通過各種技術(shù)手段,建立情報分享網(wǎng)絡(luò),幫助客戶了解當前整體的網(wǎng)絡(luò)安全態(tài)勢,同時通過專家團隊提供咨詢服務(wù),幫助企業(yè)制定可操作的安全解決方案。”
水坑式攻擊著名案例
2013年2月,包括蘋果、Facebook和Twitter在內(nèi)的科技公司網(wǎng)站紛紛遭遇了黑客入侵,而這一連串的攻擊都具有一個共同點,就是這些公司的員工都曾經(jīng)訪問過一個頗受歡迎的移動開發(fā)者信息共享網(wǎng)站iPhoneDevSdk。Facebook一名員工瀏覽了這個網(wǎng)站后,該網(wǎng)站HTML中內(nèi)嵌的木馬代碼便利用甲骨文Java漏洞侵入了這名員工的筆記本電腦;Twitter遭受攻擊之后,該網(wǎng)站多達25萬個用戶的賬號存在安全風險。
2013年3月,韓國多家媒體和金融機構(gòu)遭遇黑客的連環(huán)攻擊,其中水坑式攻擊的危害令人心有余悸。黑客通過攻擊韓國本地最大的反病毒廠商AhnLab的更新服務(wù)器,利用更新服務(wù)器下發(fā)惡意程序到終端。當終端用戶更新反病毒軟件時,不但不會對終端起到保護作用, 反而使惡意程序入侵。通過這種手段,黑客迅速擴大了攻擊范圍,并使攻擊對象的IT系統(tǒng)癱瘓。