網路攻擊新趨勢–水坑式攻擊|最新文章

網路攻擊新趨勢–水坑式攻擊

102/11/05 21638

邱敏乘｜國家實驗研究院高速網路與計算中心網路與資安組

今（2013）年初，賽門鐵克（Symantec）所發布的2012網路安全威脅報告中提出，APT攻擊手法由社交工程郵件轉向水坑式攻擊[1]。而根據芬蘭防毒軟體廠商F-Secure所提出的2013年上半年安全威脅報告[2]中也指出，2013年上半年度最受矚目的資安事件無非是包括Twitter、Facebook、Apple及Microsoft等多家知名網際網路公司，以及矽谷的多家公司，都遭到針對iPone Dev SDK的水坑式（waterholes）攻擊入侵。

什麼是水坑式攻擊呢？依wiki[3]上的定義來說，水坑式攻擊是一種網路攻擊的策略。當攻擊者想要攻擊特定族群（組織、公司、地區）時，攻擊的流程會分成三個階段。

1. 先觀察或猜測特定族群使用的網站。
2. 利用惡意程式嘗試入侵這些網站。
3. 最後當特定群組的成員來瀏覽這些被入侵的網站時就會被感染。

就像非洲的大草原上，獅子在水池附近等待來喝水的動物一樣。駭客會先觀察攻擊目標習慣瀏覽那些網站，鎖定這些網站後開始入侵並植入惡意程式。等攻擊目標瀏覽該網站就有可能被感染。入侵網站的方式通常會在網頁上插入惡意的Java Scripts或HTML碼，當用戶端瀏覽時自動下載惡意程式。為提高其成功率通常會結合零時差漏洞，如IE8的零時差漏洞[4]便是很好的例子。當攻擊目標受感染成為殭屍電腦（bot）後，通常會會自動連線至殭屍網路控制端，即C&C伺服器（Command and Control Server）下載更新惡意程式，以避免防毒軟體的偵測，提高其存活率。

水坑式攻擊嚴格說來並不是新的攻擊手法，相對於社交工程郵件攻擊等直接攻擊的手法應該是比較沒有率效的，但為何其攻擊事件日趨上升呢？其主要的原因是人。透過教育訓練，現今大部份的人都知道不明來源的電子郵件可能夾帶惡意程式或連結，最好直接刪掉，但對於網站是否安全，一般使用者很難去判斷。另外在賽門鐵克的報告[2]中指出，網站管理者並沒有積極修補漏洞，根據統計，有53%的合法網站有未修補的漏洞，61%的惡意網站是合法網站，也就是說很多合法網站根本不知道網站已被駭客入侵。因此加強入侵的難度、即時的漏洞更新及記錄的檢查，讓管理者能及早發現進而阻絕攻擊行為，才是最好的因應之道！

參考資料

資料來源

轉載自「國研院高速網路與計算中心89期電子報」

病毒(73) 殭屍電腦(2)

網路攻擊新趨勢–水坑式攻擊

推薦文章