Co je to watering hole attack
Watering hole attack spočívá v umístění drive-by download malwaru na vybraný web a zacílení na konkrétní organizaci nebo osobu, která je předmětem zájmu útočníka.
Tato technika není nová, používá se již několik let a představuje určitou alternativu k již poměrně dobře známému spear phishingu.
Tato technika se volí v okamžiku, kdy útočník nechce vzbudit podezření zasláním spear phishing e-mailu, neboť zde hrozí, že by takovýto útok mohl být snadno odhalen již v jeho samotném počátku.
Obvykle se tato technika používá v rámci průmyslové špionáže, kdy jsou cílem útoku citlivé informace např. výsledky výzkumu, ale stejně tak může být i cílem útoku škoda v důsledku vyřazení určitého zařízení, např. elektrárny.
V případě této techniky si útočník nejprve vytipuje, jaká je oblast zájmu určité osoby nebo skupiny osob, a které webové servery tato osoba nebo skupina osob navštěvuje. Následně si pak vybere webový server nebo prezentaci, která je špatně zabezpečena a tu kompromituje.
Jinými slovy útočník začlení do stránek kód, který návštěvníka přesměruje na stránky obsahující nějaký ne nutně zero-day exploit, který zneužívá zranitelnosti v nějaké aplikaci jako je prohlížeč, přehrávač určitých multimediálních formátů apod., kterou návštěvník používá.
K umístění kódu do stránek se děje zpravidla bez vědomí jejich vlastníka a provozovatele, i když k jeho začlenění může dojít i na základě požadavku policie nebo jiné bezpečnostní složky, která potřebuje sledovat konkrétní osobu a získat důkazy.
Pokud je server dobře zabezpečen, může ještě útočník využít možností, které mu nabízí malvertising, kdy si připraví speciální banner, který se pak bude zobrazovat pouze osobám, které se o danou problematiku zajímají.
Pak už jen čeká, až někdo banner klikne nebo na daný web zavítá. Na tomto místě je třeba zmínit, že k exploitaci zpravidla nedochází u každého návštěvníka, to ale jen u konkrétního návštěvníka nebo skupiny návštěvníků.
Nejjednodušší způsob jak toto zajistit, je, že exploitace probíhá pouze v případě, že na web přistoupí osoba z určité adresy. Jakou adresu daná osoba nebo skupina osob používá, není pro útočníka zpravidla problém zjistit, neboť mnohdy se jedná o veřejné informace.
Pokročilejší metodou je pak využití skutečnosti, že web obsahuje část určenou jen pro členy. Zde pak útočníkovi stačí jen vyhodnocovat, zda právě autentizovaný uživatel je předmětem jeho zájmu a jen jemu podvrhnout škodlivý obsah.
Právě skutečnost, že se exploit projeví až při splnění určitých podmínek, je detekce watering holes velice obtížná, a obtížná je i obrana, protože mnohdy nestačí mít jen aktuální verze SW, kvalitní antimalware s technologií HIPS a NBA řešení na síti.
Pravdou ale také je, že v mnoha případech, kdy byla technika watering holes použita, tak nebylo nutné zneužívat nějakých zero day zranitelností, nýbrž již dlouho známých zranitelností a skutečnosti, že velké společnosti nepatchují ihned poté, co je patch uvolněn.
Pojem watering hole nevznikl náhodou, ale má svůj obraz v reálném světě, a tím je šelma číhající na svou kořist ukryta někde kousek od vodní nádrže, kam se ostatní přicházejí napít.
Štítky: cybecrime
K článku “Co je to watering hole attack” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.
