水坑攻击(watering hole) 是近些年黑客攻击常用的方式之一,顾名思义,是在受害者必经之路设置了一个“水坑(陷阱)”。最常见的做法是,黑客分析攻击目标的上网活动规律,寻找攻击目标经常访问的网站的弱点,先将此网站“攻破”并植入攻击代码,一旦攻击目标访问该网站就会“中招”。 由于此种攻击借助了目标团体所信任的网站,攻击成功率很高,即便是那些对鱼叉攻击或其他形式的钓鱼攻击具有防护能力的团体。其针对的目标多为特定的团体(组织、行业、地区等)。攻击者首先通过猜测(或观察)确定这组目标经常访问的网站,并入侵其中一个或多个,植入恶意软件,最后,达到感染该组目标中部分成员的目的。
包含木马载荷的水坑应用程序
尽管受害者在使用其设备时会尽力注意并保持自己的安全,但他们的消息和电话会转到其他相关联的设备,这些设备可能不受保护,并以不安全的方式使用。
目前已知的攻击案例有2017年ExPetr攻击和2016年波兰银行攻击。
水坑攻击不需要利用宝贵的零日漏洞,不需要使用专业的一流黑客,也不需要与领先的情报机构合作,就能发起攻击。
攻击可以通过使用原始接入点、不安全的无线网络、不安全或易受攻击的网站、社会工程和其他不属于网络攻击的技术水平的方法进行。
在本文,研究人员会分析一组安装的Android应用程序,这些应用程序欺骗了访问目标Android应用程序、新闻网站和某个期刊的用户。
利用RSS发起水坑攻击
研究人员的案例研究的是ArabicRSS,奇热它与可以从市场上安全地下载并安装的合法应用程序相同,但是带有恶意间谍软件代码有效载荷。
ArabicalRSS应用程序屏幕截图
《生活报》(Al-Hayat)是一份总部设在伦敦的泛阿拉伯报纸,是希望向广大公众表达自己的自由主义知识分子的首选场所。研究人员案例研究中的受害者是用Android设备用户访问该报纸的用户。
这些攻击是通过从《生活报》和其他有关网站的重定向,以及通过其他社会工程方法,到一个引诱用户下载和安装恶意木马的网站进行的。
从合法来源重定向到用户将在其上下载恶意软件的站点,此过程非常简单,例如中间人攻击(MITM),社会工程学和其他重定向手段。此外,攻击者可以利用网站中的漏洞,注入恶意JavaScript或HTML代码,将目标重定向到托管恶意软件的另一个站点。
对一个可以合法从app store下载的应用程序进行反编译,“注入”恶意代码载荷,使其在被攻击的设备上秘密工作,并重新打包应用程序的APK(app文件)。
Ara