水坑式攻击让你防不胜防.doc

水坑式攻击让你防不胜防.doc水坑式攻击让你防不胜防俗话说:“姜太公钓鱼,愿者上钩。”在今天的信息安全领域,黑客通过实施水坑式攻击,让这句古老的谚语背离了其原有的涵义。“在瞄准目标对象之后,黑客并不急于对其展开攻击,而是先分析对方的行为特点,比如经常访问哪些社交网站、电子商务网站、天气预报或新闻网站,然后攻击目标对象经常访问的网站,植入恶意软件。一旦用户点击浏览该网站,木马病毒就会被植入目标对象的终端设备。”赛门铁克中国区安全产品总监卜宪录的描述非常形象,“黑客就像是非洲大草原上在水坑旁埋伏着的狮子一样,等待猎物自己送上门来。”新“钓鱼”手段根据赛门铁克发布的《第十八期互联网安全威胁报告》(以下简称《报告》),针对性攻击在2012年数量猛增42%。针对性攻击正在取代DDoS成为主流的攻击手段。传统的APT攻击大多采用鱼叉式的攻击手法。黑客通过有针对性地给攻击对象发送垃圾短信或者精心设计好的欺诈邮件,在附件或链接中植入病毒或木马,用户只要点击就会中招。不过,鱼叉式攻击的效果正在减弱。这一方面是由于安全产品对钓鱼邮件的侦测能力不断提高,另一方面是因为企业的安全意识正在上升。趋势科技中国区高级研究员谷亮认为:“黑客使用这种方式,只能等待攻击对象点击钓鱼邮件中的链接或者打开邮件附件。但是随着针对性攻击事件不断发生,人们对钓鱼邮件的警觉性正在逐渐增强,使得钓鱼邮件的攻击成功率受到影响。”因此,黑客攻击的方式呈现出多元化和复杂化的趋势。2013年备受瞩目的水坑式攻击就是其中之一。黑客不再直接攻击最终目标,而是转向对方信任并且经常访问的网站,当攻击目标前往该网站时,木马病毒就会被植入对方的终端。通过这种新型的APT攻击方式,黑客屡屡得逞,安全厂商防不胜防。黑客在发起水坑式攻击之前,需要针对目标对象搜集大量信息,这往往会耗费大量时间,因此水坑式攻击目前并不普及。尽管如此,其破坏范围更广、破坏力更强的特点,足以引起人们的注意。“水坑式攻击的目标通常是商业组织、人权组织和政府机构。黑客会尽可能多地攻击目标对象经常访问的网站,从而提高攻击的成功率。”谷亮告诉本报记者,“人们对于自己经常访问的网站往往不存戒心,水坑式攻击正是利用了这个警觉性的盲区实施攻击的。此外,由于不借助邮件实施攻击,这类攻击还降低了被安全产品检测出来的概率。”水坑式攻击的影响范围更广泛。一旦访问受攻击网站,访问者的终端都会感染相应的木马病毒。“水坑式攻击可以在极短时间内锁定大量攻击目标。”卜宪录举例称,“2012年,ElderwoodGang在人力资源网站上设伏,一天之内就有500个公司因此受损。这种攻击的效率远远超过传统的鱼叉式攻击,因此破坏力更大。”零日漏洞是帮凶水坑式攻击之所以能够迅速捕获大量攻击对象,一个重要的原因是它充分利用了网站的漏洞,尤其是零日漏洞。黑客赶在零日漏洞被修补前攻击,木马病毒被迅速扩散,黑客攻击的成功率极高。“零日漏洞是黑客发起水坑式攻击的土壤。”卜宪录透露,2012年赛门铁克检测到14个新增零日漏洞,尽管这一数字在所有漏洞中所占的比例并不高,但是威胁极其巨大。同时,合法网站正在被黑客利用,成为其发起攻击的武器。比如,黑客可以在网站上购买广告位,然后将广告链接到非法网站,用户一旦点击广告就会感染黑客事先植入的木马病毒。卜宪录表示:“透过合法途径,黑客很容易获得网站的控制权,并且省去了大量用于寻找网站漏洞的时