攻擊者定期觀察受害者或特定團體經常訪問的網站，然后用惡意軟件感染這些網站。然后尋找這些網站的漏洞，并將惡意代碼注入到網站上顯示的廣告或橫幅上。

用于水坑攻擊的惡意軟件通常會收集目標的個人信息并將其發送給攻擊者操作的C&C服務器。優勢，惡意軟件也可以讓攻擊者完全訪問受害者的系統。

[[257653]]

什么是水坑攻擊?

水坑攻擊時一種看似簡單但成功率較高的網絡攻擊方式。攻擊目標多為特定的團體(組織、行業、地區等)。攻擊者首先通過猜測(或觀察)確定這組目標經常訪問的網站，然后入侵其中一個或多個網站，植入惡意軟件。在目標訪問該網站時，會被重定向到惡意網址或觸發惡意軟件執行，導致該組目標中部分成員甚至全部成員被感染。按照這個思路，水坑攻擊其實也可以算是魚叉式釣魚的一種延伸。

早在 2012 年，國外就有研究人員提出了“水坑攻擊”的概念。這種攻擊方式的命名受獅子等猛獸的狩獵方式啟發。在捕獵時，獅子并不總是會主動出擊，他們有時會埋伏水坑邊上，等目標路過水坑停下來喝水的時候，就抓住時機展開攻擊。這樣的攻擊成功率就很高，因為目標總是要到水坑“喝水”的。

[[257654]]

水坑攻擊的主要特征

• 多屬于 APT 攻擊，目標多為是大型、重要企業的員工或網站;
• 多利用 0-day 漏洞。

水坑攻擊如何運作?

攻擊者定期觀察受害者或特定團體經常訪問的網站，然后用惡意軟件感染這些網站。

然后尋找這些網站的漏洞，并將惡意編程代碼(通常以JavaScript或HTML形式)注入到網站上顯示的廣告或橫幅上。

然后惡意代碼會將受害者重定向到存在惡意軟件或惡意廣告的網絡釣魚網站上。

當受害者訪問這些網站時，受害者的計算機就會自動下載包含惡意軟件的腳本。

然后惡意軟件會收集受害者的個人信息，并將其發送給攻擊者操作的C&C服務器。

水坑攻擊示例

• 2012 年底，美國外交關系委員會的網站遭遇水坑攻擊;2013 年初，蘋果、微軟、紐約時報、Facebook、Twitter 等知名大流量網站也相繼中招。國內網站也難以幸免：2013 年，西藏政府網站遭遇水坑攻擊;2015 年，百度、阿里等國內知名網站也因為 JSONP 漏洞而遭受水坑攻擊。
• 2017年，來自朝鮮的黑客組織Lazarus發起了水坑攻擊，IP地址顯示此次攻擊影響了來自31個國家/地區的104個特定組織，大多數目標在波蘭，其次是美國、墨西哥、巴西和智利。
• 2018年，柬埔寨國防部、柬埔寨外交和國際合作部等近21個網站遭到OceanLotus威脅組織發起的水坑攻擊。

如何免受水坑攻擊?

• 建議將所有軟件更新到最新版本，并及時更新操作系統。
• 正確配置防火墻和其它網絡安全產品。
• 為了防止水坑攻擊，建議監控員工經常訪問的網站，確保這些網站中沒有惡意軟件。
• 確保您自己的網站沒有惡意軟件。
• 請使用VPN和瀏覽器的隱私瀏覽功能隱藏您的在線活動。
• 加強有關水坑攻擊的教育。