这是一个创建于 3449 天前的主题,其中的信息可能已经有所发展或是发生改变。
回顾自 6.16 号开始的这一周时间,你可曾遵照系统提示及时更新了你的 Adobe Flash 播放器?倘若没有,这所谓的水坑攻击已在你的疏忽大意中扩大了池水面积,好戏继续。
据美国 SC Magazine 报道,新兴黑客组织 ScarCruft 利用 Adobe Flash 播放器的 0day 漏洞发起互联网攻击,其中以 Daybreak 和 Erebus 行动为代表,波及中国、韩国、俄罗斯等众多国家。而说到 Erebus 行动,其正是利用 Adobe Flash 播放器 CVE-2016-4117 漏洞进行的水坑攻击原理得逞的。 水坑攻击,顾名思义可以借用动物世界中的常见场景来解读。在干涸的沙漠或荒原,谁能抗拒水源的诱惑,于是一群斑马欣喜地聚集在了水坑周围嬉戏畅饮。可谁料,这正是猛兽蹲点涉猎的据点,饮水饱的斑马随即成为了狮子的美餐。 http://ww2.sinaimg.cn/large/89897041gw1f56gc2ny45j20sb0h6qce.jpg 结合互联网安全,水坑攻击实际上是来自 Watering Hole 的直译,黑客揣测甚至伺机观察攻击目标的常见互联网行为,例如最常访问的信任站点,并以此站点作为动物世界中的水坑,事先在站点上部署机关,伺机目标用户访问以致中招。 说到这里,大家可能会联想到钓鱼攻击,常见案例例如黑客邮件给目标用户一个看似合法的站点地址诱引目标用户点击从而中招。的确,这两类攻击异曲同工之妙就在于都利用了社会心理学原理,分析了目标客户群对什么感兴趣或对什么信任,从而进行诱引。但水坑攻击和钓鱼攻击最大的区别在于,水坑攻击中的水坑站点往往都是影响力大的合法站点,例如去年被水坑的福布斯网站。由于站点的影响力,给予了访问者的无条件信任,从而放松了警惕而深陷水坑中。
介绍到此,大家可能会问,既然水坑攻击所用站点都是正常网站,那黑客是何以得逞的呢?这个聪明的问题正是水坑攻击升级取代钓鱼攻击趋势的得分点。接下来,借用插图来逐步解读下水坑攻击原理。 http://ww3.sinaimg.cn/large/89897041gw1f56gd0x15cj20fe087wfu.jpg -
黑客锁定目标用户经常访问和信任的站点。例如锁定银行金融用户信任和常访问的金融机构网站。
-
在圈定的站点范围内,找寻最容易被远程利用的 Web 漏洞,从而上传攻击代码隐蔽在站点。
-
目标用户访问被黑客布设好机关的可信站点时,恶意代码被执行。
-
目标用户在全然不知情的情况下,被引向到黑客架设的恶意站点,从而完成木马和病毒程序在用户电脑上的安装。
-
黑客通过安装在目标用户电脑上的木马程序远程操控用户电脑,攻击告成。 (之后的恶果不言而喻,大家可以自行脑补。)
了解至此,大家不免惊叹攻击如此,试问防护奈何呢?针对此类利用用户社会心理学的互联网攻击,防御措施不单是安装一个软件或部署一个设备就能高枕无忧的,简言之,需要分角色分层面协同防护。
解决方案:TO 网站方
作为被水坑的站点所有者,的确需要自省下站点安全工作疏忽给予了黑客可趁之机。为什么站点会被水坑?正是因为站点存有高可用和高危 Web 漏洞所致。那从站点设计开发阶段,是否考虑到代码安全?在站点上线使用阶段,是否考虑了 Web 应用安全进行实时监控防御 Web 攻击?站点运营阶段,是否进行周期检测和及时修复工作?只有考虑到站点安全的事前、事中、事后各个环节的安全风险与隐患,才能夯实站点应用安全。(具体站点安全防护,可参考云安全解决方案 https://www.wangsucloud.com/product.action 。) 解决方案:To 用户端
作为用户,并不是束手无策,而是需要遵照安全更新提示,及时打补丁和升级软件。例如此次 Adobe 事件,就需要大家在看到 Adobe 更新提示的时候及时升级到相应修复版本。不可偷一时之懒,埋长久之患。 目前尚无回复
Select Language