一、小白剧场
小白:东哥,平时不工作的时候你都喜欢干什么来娱乐消遣啊?
大东:我也就时不时翻翻资讯,看看热点,偶尔在家吃饭的时候看看电视。
小白:我也是!记得小时候我经常吃饭的时候看动物世界,狮子老虎那些猛兽捕猎的时候实在是太精彩了!
大东:啊,话说我也好久没听到赵老师磁性的解说了,那熟悉的开场曲。小白,那你还记得当时它们狩猎的过程了吗?
小白:当然,它们通常不会主动出击,而是在远处观察猎物经常出没的地方,然后埋伏起来等待猎物上钩,然后发动闪电扑杀!
大东:没错,小白你描述得太形象了!这让我想起了咱们网络安全业界也有一种类似猛兽狩猎方式的攻击!
小白:不愧是东哥,三句不离网络安全,这是一种什么攻击呢?
大东:它其实是一种钓鱼攻击,只不过它的手段更“高明”,攻击效率更高!而且它最近不怎么安分,又出来兴风作浪了!
小白:诶呀,东哥!快别卖关子了,这个钓鱼界的“江湖老道”到底是何许人也啊?
大东:它就是业界俗称的“水坑攻击”!
小白:那它到底是什么来历呢,东哥?为什么叫水坑攻击?
二、话说事件
大东:先别急,小白,我来简要介绍下水坑攻击的起源。
小白:嗯嗯,快讲吧,东哥!
大东:水坑攻击当然也属于APT攻击的一种,它是一种高级的钓鱼攻击!
小白:它与钓鱼攻击相比有哪些升级呢?
大东:与钓鱼攻击相比,攻击者无需耗费精力制作钓鱼网站,而是利用合法网站的弱点,隐蔽性比较强。
小白:不用自己制作钓鱼网站,那可真是省了好多精力啊!
大东:没错!而且如今人们的网络安全意识越来越强,自己制作的钓鱼网站反而更容易露出马脚,稍微有些经验的网民就能够识破攻击者的阴谋!
小白:那这样说来,攻击者是利用了我们对那些经常访问的网站的信任啊!
大东:没错!水坑攻击利用这些被信任网站的弱点在其中植入攻击代码,攻击代码利用浏览器的缺陷,被攻击者访问网站时终端会被植入恶意程序或者直接被盗取个人重要信息。
小白:实在是太可怕了,看来我们浏览平时熟悉的网页也要小心了!那东哥,虽说这是一种高级的钓鱼攻击,那它有没有什么特定的攻击目标呢?
大东:当然有,水坑攻击的攻击目标多为特定的团体,如组织、行业、地区等。
小白:那攻击者是直接实施水坑攻击吗,还是有什么具体的前期准备?
大东:攻击者首先会做些社工工作,观察或猜测来确定这组目标经常访问的网站,然后入侵其中一个或多个网站,植入恶意软件。
小白:看来水坑攻击者也是一个情报专家啊!
大东:哈哈,没错!
小白:那在这之后是不是就等着目标上钩就可以了,东哥?
大东:没错!在目标访问该网站时,受害者会被重定向到恶意网址或触发恶意软件执行,导致该组目标中部分成员甚至全部成员被感染。
小白:哦,原来是这样,那按照这个思路,那它确实算鱼叉式钓鱼门派的得意门生了!
大东:哈哈,说的很对,小白!
小白:那东哥,这个水坑攻击最近怎么又出来兴风作浪了呢,快给我讲讲发生什么事了呗?
大东:好好,别急小白,听我给你慢慢道来。这次事件其实是一次“双线”的APT攻击!
小白:为何称之为“双线”呢?
大东:因为本次攻击过程,攻击者利用漏洞利用链分别针对Windows和Android用户进行了0day漏洞攻击。
小白:原来如此!那这次攻击是由哪个组织披露的呢?
大东:本次攻击是由Google ProjectZero与威胁分析小组(TAG)披露的。
小白:那这次的双线攻击具体是怎样的过程呢,东哥?
大东:该活动时间在2020年初,APT组织使用两台漏洞利用服务器进行水坑攻击,其中每一个都使用了单独的漏洞利用链。
小白:竟然还使用了两个独立的漏洞利用链!
大东:没错!一台服务器针对Windows用户,另一台则针对Android。而且Windows和Android服务器均使用Chrome漏洞利用程序进行初始远程代码执行。
小白:这意味着什么呢?
大东:这意味着无论是通过Windows或Android的Chrome浏览器进行访问含漏洞代码的网站,都会触发漏洞从而执行接下来的漏洞利用链。
小白:那这两条独立的漏洞利用链在构造上有什么相似之处呢,东哥?
大东:在漏洞利用链中,Chrome和Windows均使用了0day漏洞。
小白:那又有什么区别呢,东哥?
大东:对于Android系统方面,漏洞利用链使用了众所周知的Nday漏洞利用,谷歌方面认为其会使用0day漏洞针对高级目标,但并没有捕获到。
三、大话始末
小白:那东哥,本次双线水坑攻击事件最后怎样解决了呢?
大东:谷歌在漏洞利用服务器中寻找到了四个Chrome漏洞利用,而且其中的一个CVE-2020-6418-TurboFan中的Chrome漏洞在发现时还未修复。
小白:哇,那要尽快修复啊!还有其他类型的漏洞吗,东哥?
大东:研究者们还发现了三个Windows 0day漏洞,分别是两个Windows上的字体漏洞和CRSS漏洞。
小白:除了这些还有别的收获吗,东哥?
大东:他们还获得了一个提权工具包,其中包含针对较旧版本的Android的Nday漏洞。
小白:哇,真是收获满满,相关人员要及时修复还没有修复的漏洞啊!那东哥,专家有没有对本次双线水坑攻击作出什么分析总结呢?
大东:当然有了!谷歌方面认为,这些漏洞利用链突出的特点便是进行了模块化设计,这一目的是为了提高攻击效率和灵活性。
小白:看来攻击者是训练有素的专业团队啊!
大东:没错,攻击者设计了复杂的代码,采取了多种新颖的利用方法,甚至是成熟的日志记录。
小白:这个日志记录是用来达成什么目的的呢?
大东:当然是为了记录漏洞利用的过程和所应用的关键技术,以便复盘和提升利用漏洞利用效率。
小白:怪不得这两条漏洞利用链效率这么高,原来设计的这么精细,他们背后一定有个技术大佬提供技术支持!
大东:先不提攻击者的作案初心,单是这前卫的攻击技术便是我们这些网络安全防卫者所必须学习的。
小白:没错,那谷歌有没有将本次漏洞利用链的分析细节公布、分享给业内安全防卫人员呢,东哥?
大东:当然!在这次事件后,谷歌对每一个漏洞利用链都进行了详细的分析,并通过文章记录了下来,希望借这些文章能使得其他安全研究员深入了解并获得技术提升!
四、小白内心说
小白:那东哥,水坑攻击在历史上发动了哪些经典攻击案例呢,给我介绍几个呗?
大东:那我就给你讲几个比较著名的!首先是针对美国外交关系委员会的一次水坑攻击。
小白:这次攻击发生了什么呢?
大东:在2012年12月,安全人员通过微软Internet Explorer中的0day漏洞,发现外交关系委员会网站感染了恶意软件。
小白:本次攻击造成了怎样的后果呢?
大东:在此次攻击中,攻击者部署了恶意软件,但仅仅部署给了使用Internet Explorer设置为英语,中文,日语,韩语和俄语的用户。
小白:哇,好可怕,还好我那时经常使用别的浏览器,那我国有发生过水坑攻击事件吗,东哥?
大东:当然,国内网站也难以幸免。2013年,西藏政府网站遭遇过水坑攻击;2015年,某搜索引擎、电商等国内知名网站也因为JSONP漏洞而遭受水坑攻击。
小白:哇,原来水坑攻击就在我们身边啊!那东哥,为了应对水坑攻击,公司和组织可以采取哪些防范措施呢?
大东:首先,公司安全负责人员应当定期检查员工访问量最大的网站是否存在恶意软件,并对发现的所有受感染站点进行拦截。
小白:还有没有其他的建议呢,东哥?
大东:安全人员也可以设置浏览器和工具,以利用网站信誉让用户知道不良网站。总而言之,针对这类攻击,重要的一点便是对用户进行安全教育,让大家意识到这类攻击及其危害性,遇到点击链接的要求时越谨慎越好。