今(2013)年初,賽門鐵克(Symantec)所發布的2012網路安全威脅報告中提出,APT攻擊手法由社交工程郵件轉向水坑式攻擊[1]。而根據芬蘭防毒軟體廠商F-Secure所提出的2013年上半年安全威脅報告[2]中也指出,2013年上半年度最受矚目的資安事件無非是包括Twitter、Facebook、Apple及Microsoft等多家知名網際網路公司,以及矽谷的多家公司,都遭到針對iPone Dev SDK的水坑式(waterholes)攻擊入侵。
就像非洲的大草原上,獅子在水池附近等待來喝水的動物一樣。駭客會先觀察攻擊目標習慣瀏覽那些網站,鎖定這些網站後開始入侵並植入惡意程式。等攻擊目標瀏覽該網站就有可能被感染。入侵網站的方式通常會在網頁上插入惡意的Java Scripts或HTML碼,當用戶端瀏覽時自動下載惡意程式。為提高其成功率通常會結合零時差漏洞,如IE8的零時差漏洞[4]便是很好的例子。當攻擊目標受感染成為殭屍電腦(bot)後,通常會會自動連線至殭屍網路控制端,即C&C伺服器(Command and Control Server)下載更新惡意程式,以避免防毒軟體的偵測,提高其存活率。
