俗话说:“姜太公钓鱼,愿者上钩。”在今天的信息安全领域,黑客通过实施水坑式攻击,让这句古老的谚语背离了其原有的涵义。
“在瞄准目标对象之后,黑客并不急于对其展开攻击,而是先分析对方的行为特点,比如经常访问哪些社交网站、电子商务网站、天气预报或新闻网站,然后攻击目标对象经常访问的网站,植入恶意软件。一旦用户点击浏览该网站,木马病毒就会被植入目标对象的终端设备。”赛门铁克中国区安全产品总监卜宪录的描述非常形象,“黑客就像是非洲大草原上在水坑旁埋伏着的狮子一样,等待猎物自己送上门来。”
新“钓鱼”手段
根据赛门铁克发布的《第十八期互联网安全威胁报告》(以下简称《报告》),针对性攻击在2012年数量猛增42%。针对性攻击正在取代DDoS成为主流的攻击手段。
传统的APT攻击大多采用鱼叉式的攻击手法。黑客通过有针对性地给攻击对象发送垃圾短信或者精心设计好的欺诈邮件,在附件或链接中植入病毒或木马,用户只要点击就会中招。
不过,鱼叉式攻击的效果正在减弱。这一方面是由于安全产品对钓鱼邮件的侦测能力不断提高,另一方面是因为企业的安全意识正在上升。趋势科技中国区高级研究员谷亮认为:“黑客使用这种方式,只能等待攻击对象点击钓鱼邮件中的链接或者打开邮件附件。但是随着针对性攻击事件不断发生,人们对钓鱼邮件的警觉性正在逐渐增强,使得钓鱼邮件的攻击成功率受到影响。”
因此,黑客攻击的方式呈现出多元化和复杂化的趋势。2013年备受瞩目的水坑式攻击就是其中之一。黑客不再直接攻击最终目标,而是转向对方信任并且经常访问的网站,当攻击目标前往该网站时,木马病毒就会被植入对方的终端。通过这种新型的APT攻击方式,黑客屡屡得逞,安全厂商防不胜防。
黑客在发起水坑式攻击之前,需要针对目标对象搜集大量信息,这往往会耗费大量时间,因此水坑式攻击目前并不普及。尽管如此,其破坏范围更广、破坏力更强的特点,足以引起人们的注意。“水坑式攻击的目标通常是商业组织、人权组织和政府机构。黑客会尽可能多地攻击目标对象经常访问的网站,从而提高攻击的成功率。”谷亮告诉本报记者,“人们对于自己经常访问的网站往往不存戒心,水坑式攻击正是利用了这个警觉性的盲区实施攻击的。此外,由于不借助邮件实施攻击,这类攻击还降低了被安全产品检测出来的概率。”
水坑式攻击的影响范围更广泛。一旦访问受攻击网站,访问者的终端都会感染相应的木马病毒。“水坑式攻击可以在极短时间内锁定大量攻击目标。”卜宪录举例称,“2012年,Elderwood Gang在人力资源网站上设伏,一天之内就有500个公司因此受损。这种攻击的效率远远超过传统的鱼叉式攻击,因此破坏力更大。”
零日漏洞是帮凶
水坑式攻击之所以能够迅速捕获大量攻击对象,一个重要的原因是它充分利用了网站的漏洞,尤其是零日漏洞。黑客赶在零日漏洞被修补前攻击,木马病毒被迅速扩散,黑客攻击的成功率极高。“零日漏洞是黑客发起水坑式攻击的土壤。”卜宪录透露,2012年赛门铁克检测到14个新增零日漏洞,尽管这一数字在所有漏洞中所占的比例并不高,但是威胁极其巨大。
同时,合法网站正在被黑客利用,成为其发起攻击的武器。比如,黑客可以在网站上购买广告位,然后将广告链接到非法网站,用户一旦点击广告就会感染黑客事先植入的木马病毒。卜宪录表示:“透过合法途径,黑客很容易获得网站的控制权,并且省去了大量用于寻找网站漏洞的时间和精力。”赛门铁克《报告》显示,53%合法网站存在未修补的漏洞,24%的合法网站存在未修补的致命漏洞。
此外,某些在产业链上占据重要位置,或者具有知识产权的中小企业网站,也成为黑客发起攻击的武器。黑客在侵入安全防护体系较为脆弱的中小企业后,收集相关资料,然后向位于其产业链上下游的最终目标发起攻击。“赛门铁克调查发现,2012年针对员工数低于250人的公司发起针对性攻击的数量同比大幅增长1.7倍。”卜宪录认为,地下产业链越来越庞大,攻击工具包越来越普及,攻击一个网站正变得更加容易。而越来越多的网站遭到攻击,也为黑客实施水坑式攻击提供了便利的渠道和土壤。
多层次防御
由于实施了曲线攻击方式,攻击手段隐蔽,水坑式攻击难以被发现。正如卜宪录所言:“水坑式攻击具有隐蔽性、复杂性、持续性等特点,对它的防御绝对不是某一个单点的安全产品或者一个单独的技术就能够实现的。”
而在中国电子信息产业发展研究院信息安全研究所所长刘权看来,尽管存在难度,发现水坑式攻击并非无迹可寻,“企业要通过安装防火墙,及时更新所有系统补丁,在多个级别都激活先进的入侵检测系统,并且经常检查相关数据,才能确定是否受到了水坑式攻击”。
趋势科技《2013年信息安全预测报告》预测,2013年水坑式攻击将被更多黑客组织所利用。攻击日益复杂的攻击, 企业该如何加强防范呢?
对此,赛门铁克给出了三点建议:
第一,提升整个企业安全防控意识。“提高意识是最重要的。”卜宪录强调,如果员工的风险意识不够,企业网络很容易被简单的社交工程攻击攻破,这样的话,即便是企业有再高的安全防护技术和产品,都无济于事。
第二,建立层次化、结构化的防御手段。“水坑式攻击的出现对企业的整个安全防控措施提出了更高的要求,如果员工通过办公网对外进行访问,企业应该有一套过滤防控手段,判别这个网站是否安全。”卜宪录认为,企业还需要在网络层、数据层、应用层等各个层面综合考虑,建立完整的防御体系,而不是单独依靠某一技术手段。
第三,企业应该特别关注核心信息的防护。这是因为黑客发起水坑式攻击的目标,大多是冲着企业的核心资产而来。“无论黑客的目的是搞破坏还是开展其他非法活动,都要收集企业的核心信息。”卜宪录提醒,企业保护好自己的核心数据,对于防范水坑式攻击,以及其他APT攻击,“都是绝对有帮助的”。
此外,从安全厂商的角度看,刘权认为厂商之间的合作是非常有必要的,“安全厂商应该通过各种技术手段,建立情报分享网络,帮助客户了解当前整体的网络安全态势,同时通过专家团队提供咨询服务,帮助企业制定可操作的安全解决方案。”
水坑式攻击著名案例
2013年2月,包括苹果、Facebook和Twitter在内的科技公司网站纷纷遭遇了黑客入侵,而这一连串的攻击都具有一个共同点,就是这些公司的员工都曾经访问过一个颇受欢迎的移动开发者信息共享网站iPhoneDevSdk。Facebook一名员工浏览了这个网站后,该网站HTML中内嵌的木马代码便利用甲骨文Java漏洞侵入了这名员工的笔记本电脑;Twitter遭受攻击之后,该网站多达25万个用户的账号存在安全风险。
2013年3月,韩国多家媒体和金融机构遭遇黑客的连环攻击,其中水坑式攻击的危害令人心有余悸。黑客通过攻击韩国本地最大的反病毒厂商AhnLab的更新服务器,利用更新服务器下发恶意程序到终端。当终端用户更新反病毒软件时,不但不会对终端起到保护作用, 反而使恶意程序入侵。通过这种手段,黑客迅速扩大了攻击范围,并使攻击对象的IT系统瘫痪。