APT攻击的武器搭载系统之轰炸机

水坑攻击是指攻击者通过分析攻击目标的网络活动规律，寻找攻击目标经常访问的网站的弱点，先攻下该网站并植入攻击程序，在攻击目标访问该网站时实施攻击。

水坑攻击一词源自非洲大草原。草原上的很多肉食动物会长期潜伏在水源附近，待食草动物来到水源边上饮水时发起突然攻击。所以，水坑。攻击的本质的含义是：在攻击目标的必经之路上设下埋伏，以使目标“必然”中招。

相比于只能算是步兵武装的鱼叉邮件，水坑攻击算得上是空中战机，这不仅是因为其技术含量要相对高一些，而且最重要的是，水坑攻击的防御难度非常大。由于水坑攻击通常是在目标人群访问自己常用的或“可信”的网站时，暗中发现的伏击战，所以在绝大多数情况下，受害者对于水坑攻击的攻击过程毫无感知，因此也就谈不上识别和防御了。

水坑攻击的方式

1. A方式

海莲花首先通过渗透入侵的攻击的方式非法获得某机构的文档交流服务器的控制权；接着，在服务器后台让网站上的即时通和证书驱动两款软件的正常安装文件捆绑自己的木马程序；之后，当有用户下载并安装即时通或证书驱动软件时，木马就有机会得到执行。攻击者还在被篡改的服务器页面中插入了恶意的脚本程序，用户访问网站时，会弹出更新Flash软件的提示，但实际提供的是伪装成Flash升级包的恶意程序，用户如果不慎下载执行，就会中招。

2. B方式

海莲花入侵网站以后修改了网站的程序，在用户访问公告信息时会被重定向到一个攻击者控制的网站，提示下载某个看起来是新闻的文件，例如，在新疆522暴恐事件的第二天，网站就提示和暴恐事件的相关的新闻，并提供“乌鲁木齐7时50分发生爆炸至多人伤亡.rar”压缩包供用户下载，而该压缩包文件内包含的就是海莲花的专用木马。

A方式和B方式的前提都是需要获得目标所关注网站的权限，主要区别是A方式将攻击程序直接植入到被入侵的目标网络服务器上；而B方式则是篡改并替换了网站中的超链接，指向攻击者所控制的第三方网站，并将攻击者程序放置在这个网站的服务器上。

水坑攻击虽然难以防御，但也是一个明显的缺点，那就是对目标的选择往往不够精确，容易误伤“平民”。因为被设置水坑的网站的访问者，未必都是APT攻击的目标人群，这就使得访问网站的普通用户也可能中招。而误伤“平民”的代价，就是其攻击行为很有可能暴露在大规模普及的民用安全软件的监控之上。

正是由于水坑攻击存在杀伤力大但误伤率高的特点，所以，可以将水坑攻击比喻为现实战争中的空中轰炸机。

网络安全威胁情报中心纳新

网络安全威胁情报中心交流群（加我微信拉你进群）

各位师傅看完给个关注

原文始发于微信公众号（威胁情报捕获与分析）：APT攻击的武器搭载系统之轰炸机