IT技术日新月异,网络世界的攻方与守方你方唱罢我登场,处于魔高一尺道高一丈的不断转化状态。新技术的涌现使得网络攻击方式不断变化,并出现了不少新的攻击方法,水坑攻击就是其中一种。

什么是水坑攻击?
根据最新发布的网络安全威胁报告,水坑攻击已经成为APT攻击的一种常规工具,影响力也越来越大。水坑式攻击是指攻击者通过研究受害者的网络空间活动规律,寻找受害者经常访问的站点的漏洞,等待受害者访问时进行攻击。由于人们的网络安全意识逐渐提高,攻击者精心制作的钓鱼网站很容易被识破。水坑攻击与钓鱼式攻击相比,攻击者不需要精心制作钓鱼站点,而是利用了合法站点的漏洞和受害者对站点的信任,使其不容易被受害人察觉。

水坑攻击通常在站点的漏洞中注入攻击脚本,攻击脚本利用浏览器的缺陷,在受害者访问站点时植入恶意代码或者直接偷窃重要的个人信息。例如,攻击者攻陷了某单位的内网,将内网上一个要求全体员工下载的文档换成了木马程序,这样,所有按要求下载这一文档的人都会被植入木马程序,后果不堪设想。


水坑攻击的途径与模式
目前大部分站点使用的广告网络平台都是进行水坑攻击的有效路径。水坑攻击可以将恶意站点广告,或者恶意广告(文字或图片),插入到将被传送到不同站点的跳转广告中。由于大部分站点都使用同一广告网络,因此选择好待攻击的网络就可以达到非常“理想”的效果。

从最近的网络威胁安全报告中可以看出,水坑攻击正在赶超社交工程的邮件攻击。许多利用零日漏洞的水坑攻击使得防火墙和IPS设备很难识别,这也是其受到关注的原因之一。所以说,水坑攻击与通过社会工程学诱导受害者访问恶意站点的方式相比较,更具欺骗性和隐蔽性,效果也更好。

水坑攻击主要被用于有针对性的攻击,而Adobe Reader、Java运行时环境(JRE)、Flash和IE中的零日漏洞则常被用于安装各种恶意软件。由于水坑攻击的成功实施需要一些必要条件(比如受害者访问的网站存在漏洞,浏览器或者其他程序存在漏洞等),因此通常情况下,攻击低安全性目标以接近高安全性目标是其典型的攻击模式。低安全性目标可能是业务合作伙伴、连接到企业网络的供应商,或者是靠近目标的咖啡店内不安全的无线网络。

水坑攻击的危害
水坑式攻击的影响范围广泛。一旦访问受攻击网站,访问者的终端都会感染相应的木马病毒。它可以在极短时间内锁定大量攻击目标,捕获大量攻击对象。之所以有如此效果,网站,浏览器等软件的零日漏洞“功不可没”,黑客通常赶在零日漏洞被修补前攻击,木马病毒会被迅速扩散,因此攻击的成功率极高。

2015年因hacking team 遭到黑客攻击而流出的2个flash 零日漏洞在国内被大量用来挂马,其中黑客通过皮皮影音广告传播的水坑式攻击危害最为严重。东软NetEye攻防研究团队关注了此次水坑攻击的根源:零日漏洞CVE-2015-5122, 经过对该漏洞的成因及利用的一些技术细节的分析,在皮皮影音中是利用此漏洞进行了挂马,而不是metasploit的远端控制。虽然原理都是相通的,但挂马的目标就不是对指定目标的攻击了,而是广撒网、抓肉鸡。对于普通用户来说要防范起来是很难做到的一件事情,因为攻击者是利用还没有被暴露的零日漏洞进行的攻击,安全厂商还没有推出防范措施。所以,对于此类问题的解决也不是某一方就可以彻底做到的,是需要安全厂商、广告发布方、审核方,甚至电信部门的通力合作才能发挥效果,由此也引出了整个国家的网络安全问题。

信息安全问题威胁国家安全
事实上,当前的网络安全问题不仅仅是涉及到个人和企业,而是涉及到整个的国家安全。为了应对国家安全,美国政府从2009年开始,美国政府启动了全面国家网络空间安全计划( The Comprehensive National Cybersecurity Initiative ,CNCI)。CNCI实现下面3个重要目标,进而保护美国的网络空间安全:

1.通过在联邦政府内部创建和增强对网络漏洞、威胁和事件的共享态势感知能力和对减少当前漏洞及防止入侵的快速反应能力,进而建立一个防御线以抵御当前面临的威胁;
2.通过增强美国的反情报能力和增进关键信息技术供应链的安全,进而实现应对全方位威胁的防御能力;
3.通过扩大网络教育、协调和重新定位整个联邦政府内的研发工作,以及致力于明确和制定相关战略,阻止敌对和恶意的网络空间行动,巩固未来的网络空间环境安全。

奥巴马在2016年2月9日向国会提交2017财年政府预算,其中的网络空间安全国家行动计划(CNAP,Cybersecurity National Action Plan),计划投资190亿美元用以加强美国的网络空间安全。这份预算主要用于加固政府机构网络空间安全基础设施、更换陈旧的计算机系统、招揽专业的网络安全人才等。其中包括建立国家网络空间安全委员会。委员会会对十年内的国家安全规划提出建议,包括加强政府部分和私企之间在加强网络空间安全的同时,保护公民隐私,维护公共安全、经济繁荣和国家安全;加强联邦政府、州政府和地方政府和私营单位在从事开发、测试和推广的网络空间安全技术、策略和最佳实践等方面的合作关系。联邦政府通过网络空间安全教育国家法,将加强网络空间安全教育和全国培训,雇用更多的网络安全专家,以确保联邦机构安全。美国网络空间司令部正在建设133支部队,包括6,200位军人、文职、合同供应商保障人员组成,网络空间任务部队,将于2018 年全面运作,正在雇佣为支撑美国政府目标所需要的能力,涉及网络空间作战整个谱系。

由此我们可以看出,美国政府已经把网络安全作为了一项国家战略,从顶层设计、架构搭建、安全防护团队、后备人员培养等多个方面构筑了一整套的安全防护计划。

在2015年6月,我国发布的《网络安全法(草案)》提出了14个国家关键信息基础设施,包括公共通信、广电、能源、交通、水利、金融、供电、供水、供气、医疗卫生、社会保障、军事网络、国家机关等领域,并明确了对关键信息基础设施的安全供应商进行安全审查的条件;要求网络运营者完善用户个人信息的保护制度,加强对用户个人信息、隐私信息和商业秘密的保护;明确提出了网络安全监测预警与应急处置的条款,和《国家安全法》相一致,统一了网络安全监测预警和信息通报的口径。此外,网络安全法明确了相关责任主体的法律责任,包括网络运营商、关键信息基础设施运营者、网络产品、服务的提供者等,并有明确的处罚条例。网络安全行业从此可以做到有法可依。

在针对APT攻击的具体防御措施方面,通过单一的防护手段已经很难有效保护企事业单位的资产,因此我们建议,在提高企事业单位和上网用户的安全意识以外,结合安全厂商的技术产品和手段,构建从基础设施到互联网用户的多层次防御的安全网络空间。