Co je to watering hole attack

watering-holeWatering hole attack spočívá v umístění drive-by download malwaru na vybraný web a zacílení na konkrétní organizaci nebo osobu, která je předmětem zájmu útočníka.

Tato technika není nová, používá se již několik let a představuje určitou alternativu k již poměrně dobře známému spear phishingu.

Tato technika se volí v okamžiku, kdy útočník nechce vzbudit podezření zasláním spear phishing e-mailu, neboť zde hrozí, že by takovýto útok mohl být snadno odhalen již v jeho samotném počátku.

Obvykle se tato technika používá v rámci průmyslové špionáže, kdy jsou cílem útoku citlivé informace např. výsledky výzkumu, ale stejně tak může být i cílem útoku škoda v důsledku vyřazení určitého zařízení, např. elektrárny.

V případě této techniky si útočník nejprve vytipuje, jaká je oblast zájmu určité osoby nebo skupiny osob, a které webové servery tato osoba nebo skupina osob navštěvuje. Následně si pak vybere webový server nebo prezentaci, která je špatně zabezpečena a tu kompromituje.

Jinými slovy útočník začlení do stránek kód, který návštěvníka přesměruje na stránky obsahující nějaký ne nutně zero-day exploit, který zneužívá zranitelnosti v nějaké aplikaci jako je prohlížeč, přehrávač určitých multimediálních formátů apod., kterou návštěvník používá.

K umístění kódu do stránek se děje zpravidla bez vědomí jejich vlastníka a provozovatele, i když k jeho začlenění může dojít i na základě požadavku policie nebo jiné bezpečnostní složky, která potřebuje sledovat konkrétní osobu a získat důkazy.

Pokud je server dobře zabezpečen, může ještě útočník využít možností, které mu nabízí malvertising, kdy si připraví speciální banner, který se pak bude zobrazovat pouze osobám, které se o danou problematiku zajímají.

Pak už jen čeká, až někdo banner klikne nebo na daný web zavítá. Na tomto místě je třeba zmínit, že k exploitaci zpravidla nedochází u každého návštěvníka, to ale jen u konkrétního návštěvníka nebo skupiny návštěvníků.

Nejjednodušší způsob jak toto zajistit, je, že exploitace probíhá pouze v případě, že na web přistoupí osoba z určité adresy. Jakou adresu daná osoba nebo skupina osob používá, není pro útočníka zpravidla problém zjistit, neboť mnohdy se jedná o veřejné informace.

Pokročilejší metodou je pak využití skutečnosti, že web obsahuje část určenou jen pro členy. Zde pak útočníkovi stačí jen vyhodnocovat, zda právě autentizovaný uživatel je předmětem jeho zájmu a jen jemu podvrhnout škodlivý obsah.

Právě skutečnost, že se exploit projeví až při splnění určitých podmínek, je detekce watering holes velice obtížná, a obtížná je i obrana, protože mnohdy nestačí mít jen aktuální verze SW, kvalitní antimalware s technologií HIPS a NBA řešení na síti.

Pravdou ale také je, že v mnoha případech, kdy byla technika watering holes použita, tak nebylo nutné zneužívat nějakých zero day zranitelností, nýbrž již dlouho známých zranitelností a skutečnosti, že velké společnosti nepatchují ihned poté, co je patch uvolněn.

Pojem watering hole nevznikl náhodou, ale má svůj obraz v reálném světě, a tím je šelma číhající na svou kořist ukryta někde kousek od vodní nádrže, kam se ostatní přicházejí napít.


Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on FacebookShare on LinkedInTweet about this on TwitterShare on Google+Email this to someonePrint this page

Štítky:


K článku “Co je to watering hole attack” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: