俗話說(shuō)：“姜太公釣魚(yú)，愿者上鉤。”在今天的信息安全領(lǐng)域，黑客通過(guò)實(shí)施水坑式攻擊，讓這句古老的諺語(yǔ)背離了其原有的涵義。

　　“在瞄準(zhǔn)目標(biāo)對(duì)象之后，黑客并不急于對(duì)其展開(kāi)攻擊，而是先分析對(duì)方的行為特點(diǎn)，比如經(jīng)常訪問(wèn)哪些社交網(wǎng)站、電子商務(wù)網(wǎng)站、天氣預(yù)報(bào)或新聞網(wǎng)站，然后攻擊目標(biāo)對(duì)象經(jīng)常訪問(wèn)的網(wǎng)站，植入惡意軟件。一旦用戶點(diǎn)擊瀏覽該網(wǎng)站，木馬病毒就會(huì)被植入目標(biāo)對(duì)象的終端設(shè)備。”賽門鐵克中國(guó)區(qū)安全產(chǎn)品總監(jiān)卜憲錄的描述非常形象，“黑客就像是非洲大草原上在水坑旁埋伏著的獅子一樣，等待獵物自己送上門來(lái)。”

　　新“釣魚(yú)”手段

　　根據(jù)賽門鐵克發(fā)布的《第十八期互聯(lián)網(wǎng)安全威脅報(bào)告》(以下簡(jiǎn)稱《報(bào)告》)，針對(duì)性攻擊在2012年數(shù)量猛增42%。針對(duì)性攻擊正在取代DDoS成為主流的攻擊手段。

　　傳統(tǒng)的APT攻擊大多采用魚(yú)叉式的攻擊手法。黑客通過(guò)有針對(duì)性地給攻擊對(duì)象發(fā)送垃圾短信或者精心設(shè)計(jì)好的欺詐郵件，在附件或鏈接中植入病毒或木馬，用戶只要點(diǎn)擊就會(huì)中招。

　　不過(guò)，魚(yú)叉式攻擊的效果正在減弱。這一方面是由于安全產(chǎn)品對(duì)釣魚(yú)郵件的偵測(cè)能力不斷提高，另一方面是因?yàn)槠髽I(yè)的安全意識(shí)正在上升。趨勢(shì)科技中國(guó)區(qū)高級(jí)研究員谷亮認(rèn)為：“黑客使用這種方式，只能等待攻擊對(duì)象點(diǎn)擊釣魚(yú)郵件中的鏈接或者打開(kāi)郵件附件。但是隨著針對(duì)性攻擊事件不斷發(fā)生，人們對(duì)釣魚(yú)郵件的警覺(jué)性正在逐漸增強(qiáng)，使得釣魚(yú)郵件的攻擊成功率受到影響。”

　　因此，黑客攻擊的方式呈現(xiàn)出多元化和復(fù)雜化的趨勢(shì)。2013年備受矚目的水坑式攻擊就是其中之一。黑客不再直接攻擊最終目標(biāo)，而是轉(zhuǎn)向?qū)Ψ叫湃尾⑶医?jīng)常訪問(wèn)的網(wǎng)站，當(dāng)攻擊目標(biāo)前往該網(wǎng)站時(shí)，木馬病毒就會(huì)被植入對(duì)方的終端。通過(guò)這種新型的APT攻擊方式，黑客屢屢得逞，安全廠商防不勝防。

　　黑客在發(fā)起水坑式攻擊之前，需要針對(duì)目標(biāo)對(duì)象搜集大量信息，這往往會(huì)耗費(fèi)大量時(shí)間，因此水坑式攻擊目前并不普及。盡管如此，其破壞范圍更廣、破壞力更強(qiáng)的特點(diǎn)，足以引起人們的注意。“水坑式攻擊的目標(biāo)通常是商業(yè)組織、人權(quán)組織和政府機(jī)構(gòu)。黑客會(huì)盡可能多地攻擊目標(biāo)對(duì)象經(jīng)常訪問(wèn)的網(wǎng)站，從而提高攻擊的成功率。”谷亮告訴本報(bào)記者，“人們對(duì)于自己經(jīng)常訪問(wèn)的網(wǎng)站往往不存戒心，水坑式攻擊正是利用了這個(gè)警覺(jué)性的盲區(qū)實(shí)施攻擊的。此外，由于不借助郵件實(shí)施攻擊，這類攻擊還降低了被安全產(chǎn)品檢測(cè)出來(lái)的概率。”

　　水坑式攻擊的影響范圍更廣泛。一旦訪問(wèn)受攻擊網(wǎng)站，訪問(wèn)者的終端都會(huì)感染相應(yīng)的木馬病毒。“水坑式攻擊可以在極短時(shí)間內(nèi)鎖定大量攻擊目標(biāo)。”卜憲錄舉例稱，“2012年，Elderwood Gang在人力資源網(wǎng)站上設(shè)伏，一天之內(nèi)就有500個(gè)公司因此受損。這種攻擊的效率遠(yuǎn)遠(yuǎn)超過(guò)傳統(tǒng)的魚(yú)叉式攻擊，因此破壞力更大。”

　　零日漏洞是幫兇

　　水坑式攻擊之所以能夠迅速捕獲大量攻擊對(duì)象，一個(gè)重要的原因是它充分利用了網(wǎng)站的漏洞，尤其是零日漏洞。黑客趕在零日漏洞被修補(bǔ)前攻擊，木馬病毒被迅速擴(kuò)散，黑客攻擊的成功率極高。“零日漏洞是黑客發(fā)起水坑式攻擊的土壤。”卜憲錄透露，2012年賽門鐵克檢測(cè)到14個(gè)新增零日漏洞，盡管這一數(shù)字在所有漏洞中所占的比例并不高，但是威脅極其巨大。

　　同時(shí)，合法網(wǎng)站正在被黑客利用，成為其發(fā)起攻擊的武器。比如，黑客可以在網(wǎng)站上購(gòu)買廣告位，然后將廣告鏈接到非法網(wǎng)站，用戶一旦點(diǎn)擊廣告就會(huì)感染黑客事先植入的木馬病毒。卜憲錄表示：“透過(guò)合法途徑，黑客很容易獲得網(wǎng)站的控制權(quán)，并且省去了大量用于尋找網(wǎng)站漏洞的時(shí)間和精力。”賽門鐵克《報(bào)告》顯示，53%合法網(wǎng)站存在未修補(bǔ)的漏洞，24%的合法網(wǎng)站存在未修補(bǔ)的致命漏洞。

　　此外，某些在產(chǎn)業(yè)鏈上占據(jù)重要位置，或者具有知識(shí)產(chǎn)權(quán)的中小企業(yè)網(wǎng)站，也成為黑客發(fā)起攻擊的武器。黑客在侵入安全防護(hù)體系較為脆弱的中小企業(yè)后，收集相關(guān)資料，然后向位于其產(chǎn)業(yè)鏈上下游的最終目標(biāo)發(fā)起攻擊。“賽門鐵克調(diào)查發(fā)現(xiàn)，2012年針對(duì)員工數(shù)低于250人的公司發(fā)起針對(duì)性攻擊的數(shù)量同比大幅增長(zhǎng)1.7倍。”卜憲錄認(rèn)為，地下產(chǎn)業(yè)鏈越來(lái)越龐大，攻擊工具包越來(lái)越普及，攻擊一個(gè)網(wǎng)站正變得更加容易。而越來(lái)越多的網(wǎng)站遭到攻擊，也為黑客實(shí)施水坑式攻擊提供了便利的渠道和土壤。

　　多層次防御

　　由于實(shí)施了曲線攻擊方式，攻擊手段隱蔽，水坑式攻擊難以被發(fā)現(xiàn)。正如卜憲錄所言：“水坑式攻擊具有隱蔽性、復(fù)雜性、持續(xù)性等特點(diǎn)，對(duì)它的防御絕對(duì)不是某一個(gè)單點(diǎn)的安全產(chǎn)品或者一個(gè)單獨(dú)的技術(shù)就能夠?qū)崿F(xiàn)的。”

　　而在中國(guó)電子信息產(chǎn)業(yè)發(fā)展研究院信息安全研究所所長(zhǎng)劉權(quán)看來(lái)，盡管存在難度，發(fā)現(xiàn)水坑式攻擊并非無(wú)跡可尋，“企業(yè)要通過(guò)安裝防火墻，及時(shí)更新所有系統(tǒng)補(bǔ)丁，在多個(gè)級(jí)別都激活先進(jìn)的入侵檢測(cè)系統(tǒng)，并且經(jīng)常檢查相關(guān)數(shù)據(jù)，才能確定是否受到了水坑式攻擊”。

　　趨勢(shì)科技《2013年信息安全預(yù)測(cè)報(bào)告》預(yù)測(cè)，2013年水坑式攻擊將被更多黑客組織所利用。攻擊日益復(fù)雜的攻擊， 企業(yè)該如何加強(qiáng)防范呢?

　　對(duì)此，賽門鐵克給出了三點(diǎn)建議：

　　第一，提升整個(gè)企業(yè)安全防控意識(shí)。“提高意識(shí)是最重要的。”卜憲錄強(qiáng)調(diào)，如果員工的風(fēng)險(xiǎn)意識(shí)不夠，企業(yè)網(wǎng)絡(luò)很容易被簡(jiǎn)單的社交工程攻擊攻破，這樣的話，即便是企業(yè)有再高的安全防護(hù)技術(shù)和產(chǎn)品，都無(wú)濟(jì)于事。

　　第二，建立層次化、結(jié)構(gòu)化的防御手段。“水坑式攻擊的出現(xiàn)對(duì)企業(yè)的整個(gè)安全防控措施提出了更高的要求，如果員工通過(guò)辦公網(wǎng)對(duì)外進(jìn)行訪問(wèn)，企業(yè)應(yīng)該有一套過(guò)濾防控手段，判別這個(gè)網(wǎng)站是否安全。”卜憲錄認(rèn)為，企業(yè)還需要在網(wǎng)絡(luò)層、數(shù)據(jù)層、應(yīng)用層等各個(gè)層面綜合考慮，建立完整的防御體系，而不是單獨(dú)依靠某一技術(shù)手段。

　　第三，企業(yè)應(yīng)該特別關(guān)注核心信息的防護(hù)。這是因?yàn)楹诳桶l(fā)起水坑式攻擊的目標(biāo)，大多是沖著企業(yè)的核心資產(chǎn)而來(lái)。“無(wú)論黑客的目的是搞破壞還是開(kāi)展其他非法活動(dòng)，都要收集企業(yè)的核心信息。”卜憲錄提醒，企業(yè)保護(hù)好自己的核心數(shù)據(jù)，對(duì)于防范水坑式攻擊，以及其他APT攻擊，“都是絕對(duì)有幫助的”。

　　此外，從安全廠商的角度看，劉權(quán)認(rèn)為廠商之間的合作是非常有必要的，“安全廠商應(yīng)該通過(guò)各種技術(shù)手段，建立情報(bào)分享網(wǎng)絡(luò)，幫助客戶了解當(dāng)前整體的網(wǎng)絡(luò)安全態(tài)勢(shì)，同時(shí)通過(guò)專家團(tuán)隊(duì)提供咨詢服務(wù)，幫助企業(yè)制定可操作的安全解決方案。”

　　水坑式攻擊著名案例

　　2013年2月，包括蘋果、Facebook和Twitter在內(nèi)的科技公司網(wǎng)站紛紛遭遇了黑客入侵，而這一連串的攻擊都具有一個(gè)共同點(diǎn)，就是這些公司的員工都曾經(jīng)訪問(wèn)過(guò)一個(gè)頗受歡迎的移動(dòng)開(kāi)發(fā)者信息共享網(wǎng)站iPhoneDevSdk。Facebook一名員工瀏覽了這個(gè)網(wǎng)站后，該網(wǎng)站HTML中內(nèi)嵌的木馬代碼便利用甲骨文Java漏洞侵入了這名員工的筆記本電腦;Twitter遭受攻擊之后，該網(wǎng)站多達(dá)25萬(wàn)個(gè)用戶的賬號(hào)存在安全風(fēng)險(xiǎn)。

　　2013年3月，韓國(guó)多家媒體和金融機(jī)構(gòu)遭遇黑客的連環(huán)攻擊，其中水坑式攻擊的危害令人心有余悸。黑客通過(guò)攻擊韓國(guó)本地最大的反病毒廠商AhnLab的更新服務(wù)器，利用更新服務(wù)器下發(fā)惡意程序到終端。當(dāng)終端用戶更新反病毒軟件時(shí)，不但不會(huì)對(duì)終端起到保護(hù)作用， 反而使惡意程序入侵。通過(guò)這種手段，黑客迅速擴(kuò)大了攻擊范圍，并使攻擊對(duì)象的IT系統(tǒng)癱瘓。