Co je to watering hole attack

watering-holeWatering hole attack spočívá v umístění drive-by download malwaru na vybraný web a zacílení na konkrétní organizaci nebo osobu, která je předmětem zájmu útočníka.

Tato technika není nová, používá se již několik let a představuje určitou alternativu k již poměrně dobře známému spear phishingu.

Tato technika se volí v okamžiku, kdy útočník nechce vzbudit podezření zasláním spear phishing e-mailu, neboť zde hrozí, že by takovýto útok mohl být snadno odhalen již v jeho samotném počátku.

Obvykle se tato technika používá v rámci průmyslové špionáže, kdy jsou cílem útoku citlivé informace např. výsledky výzkumu, ale stejně tak může být i cílem útoku škoda v důsledku vyřazení určitého zařízení, např. elektrárny.

V případě této techniky si útočník nejprve vytipuje, jaká je oblast zájmu určité osoby nebo skupiny osob, a které webové servery tato osoba nebo skupina osob navštěvuje. Následně si pak vybere webový server nebo prezentaci, která je špatně zabezpečena a tu kompromituje.

Jinými slovy útočník začlení do stránek kód, který návštěvníka přesměruje na stránky obsahující nějaký ne nutně zero-day exploit, který zneužívá zranitelnosti v nějaké aplikaci jako je prohlížeč, přehrávač určitých multimediálních formátů apod., kterou návštěvník používá.

K umístění kódu do stránek se děje zpravidla bez vědomí jejich vlastníka a provozovatele, i když k jeho začlenění může dojít i na základě požadavku policie nebo jiné bezpečnostní složky, která potřebuje sledovat konkrétní osobu a získat důkazy.

Pokud je server dobře zabezpečen, může ještě útočník využít možností, které mu nabízí malvertising, kdy si připraví speciální banner, který se pak bude zobrazovat pouze osobám, které se o danou problematiku zajímají.

Pak už jen čeká, až někdo banner klikne nebo na daný web zavítá. Na tomto místě je třeba zmínit, že k exploitaci zpravidla nedochází u každého návštěvníka, to ale jen u konkrétního návštěvníka nebo skupiny návštěvníků.

Nejjednodušší způsob jak toto zajistit, je, že exploitace probíhá pouze v případě, že na web přistoupí osoba z určité adresy. Jakou adresu daná osoba nebo skupina osob používá, není pro útočníka zpravidla problém zjistit, neboť mnohdy se jedná o veřejné informace.

Pokročilejší metodou je pak využití skutečnosti, že web obsahuje část určenou jen pro členy. Zde pak útočníkovi stačí jen vyhodnocovat, zda právě autentizovaný uživatel je předmětem jeho zájmu a jen jemu podvrhnout škodlivý obsah.

Právě skutečnost, že se exploit projeví až při splnění určitých podmínek, je detekce watering holes velice obtížná, a obtížná je i obrana, protože mnohdy nestačí mít jen aktuální verze SW, kvalitní antimalware s technologií HIPS a NBA řešení na síti.

Pravdou ale také je, že v mnoha případech, kdy byla technika watering holes použita, tak nebylo nutné zneužívat nějakých zero day zranitelností, nýbrž již dlouho známých zranitelností a skutečnosti, že velké společnosti nepatchují ihned poté, co je patch uvolněn.

Pojem watering hole nevznikl náhodou, ale má svůj obraz v reálném světě, a tím je šelma číhající na svou kořist ukryta někde kousek od vodní nádrže, kam se ostatní přicházejí napít.

Pro citování tohoto článku ve své vlastní práci můžete použít následující odkaz:
ČERMÁK, Miroslav. Co je to watering hole attack. Online. Clever and Smart. 2016. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/co-je-to-watering-hole-attack/. [cit. 2025-02-16].

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Co je to watering hole attack” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: