При атака с “водна яма” атакуващите обикновено трябва да следват поредица от стъпки. Първо, те трябва да проучат целта и да се уверят, че познават типа уебсайт, който потенциалната жертва посещава. След това се опитват да го заразят със зловреден код, така че когато жертвата го посети, уебсайтът да използва уязвимост в браузъра или да я убеди да изтегли файл, който компрометира неговото устройство.
Атака “Watering hole”: Какво представлява тя?
Този вид атака е предназначена да се насочи към служители в определен отрасъл или група потребители и използва уебсайтовете, които те посещават редовно, за да ги примами в капан, който осигурява достъп до корпоративната мрежа на компанията. Кражбата на данни, икономическите загуби и увреждането на репутацията често са основните последици от атаките “watering hole”.
Въпреки че тези заплахи много приличат на атаките по веригата за доставки, те не са точно същите. И в двата случая хакерите компрометират услуга на трета страна, за да заразят други системи. Въпреки това атаките по веригата за доставки обикновено компрометират продукт, който е бил закупен, или услуга, която се използва от целта, докато атаката “watering hole” заразява неутрални уебсайтове. За разлика от това, атаката по веригата на доставки разпространява зловреден софтуер чрез “най-слабото” звено от мрежата на организацията, например доставчик, продавач или партньор.
Три преснини примера за атаки с “водна яма”:
1. Nitrokod и фалшив Google Translate за настолни компютри
В края на юли 2022 г. беше открита кампания със зловреден софтуер за добив на криптовалути, който зарази устройства в 11 държави. Извършителят беше разработчик на софтуер, наречен Nitrokod, който предлага безплатни версии на популярни софтуерни приложения, които нямат официална версия за настолни компютри. Неговата имитация на помощна програма за превод, създадена с помощта на официалните уебстраници на Google Translate и рамка, базирана на Chromium, беше най-популярното му предложение и беше налична в уебсайтове за безплатен софтуер, както и се класираше високо в резултатите от търсенето за “Google Translate desktop download”. За съжаление, приложенията бяха троянци и след като софтуерът беше инсталиран на устройството, процесът на заразяване беше латентен в продължение на няколко седмици, за да се гарантира, че ще остане незабелязан. След интервала на покой зловредният софтуер се задействал и жертвите получавали актуализиран файл, който в продължение на няколко дни зареждал серия от четири дропъра на устройството. Последният дропър разгръщаше ориентирания към Monero криптомонитор XMRig и го изпълняваше. Докато това се случваше, Google Translate продължаваше да функционира правилно и анализите на сигурността не повдигаха червени флагове. Тази тактика е позволила на кампанията да действа успешно под радара в продължение на години.
2. Зловреден софтуер SolarMarker
През септември 2022 г. групата SolarMarker компрометира уязвим уебсайт, управляван от WordPress, за да подмами жертвите си да изтеглят фалшиви актуализации на браузъра Chrome. Тази кампания беше насочена към глобална организация за данъчни консултации с присъствие в САЩ, Канада, Обединеното кралство и Европа. В този случай жертвата е била служител на компанията, който е търсил медицинско оборудване от конкретно посочен производител в Google. След като служителят получил достъп до компрометирания уебсайт, той бил подканен да изтегли актуализация на уеб браузъра Chrome. След това служителят е изтеглил и изпълнил SolarMarker, който е бил маскиран като фалшива актуализация. Фалшивата актуализация се е основавала на браузъра, който жертвата е използвала по време на достъпа до заразения уебсайт. Така че, ако потребителят е използвал друг браузър, тя е щяла да се представя за ъпдейт за Firefox или Edge.
3. Зловреден софтуер SocGholish в новинарски сайтове в САЩ
През ноември 2022 г. престъпна група компрометира компания доставчик на съдържание, която отговаря за предоставянето на видеосъдържание и реклама на големи американски медии, за да разположи зловреден софтуер на техните уебсайтове. По време на тази кампания бяха атакувани 250 уебпортала на национални и регионални вестници в страната. Зловредният софтуер, наречен SocGholish и видян за първи път през 2018 г., е бил инжектиран в доброкачествен JavaScript файл, който се зареждал на уебсайтовете на медиите и убеждавал посетителите да изтеглят фалшива актуализация на браузъра. Както и в предишния случай, злонамереният софтуер е приел формата на браузъра, използван от потребителя. След като нападателите получат първоначален достъп до мрежите, това може да бъде използвано като път за внедряване на рансъмуер, което е тактика, която сме виждали и преди.
Защита на крайните точки: критична защита срещу атака от типа “watering hole
Атаките “Watering hole” имат висок процент на успеваемост, тъй като компрометират легитимни и надеждни за потребителите уебсайтове, така че дори най-информираните и внимателни служители могат да попаднат в капана. Ето защо е необходимо решение за защита на крайни точки, което осигурява непрекъснато наблюдение и предотвратява изпълнението на неизвестни процеси. Въпреки това, като се има предвид, че когато се сблъскат с такава атака, приложенията могат да минат за легитимни, технологията, използвана за защита срещу нея, трябва да защитава потребителите от усъвършенствани заплахи, усъвършенствани постоянни заплахи (ATP), зловреден софтуер от нулев ден и ransomware, наред с други сложни заплахи. Използването на изкуствен интелект и автоматизация са полезни по отношение на извършването на действия за предотвратяване, откриване, ограничаване и реагиране. Освен това поведенческият анализ е идеален за откриване на това дали в мрежата има злонамерени участници. Съвкупността от тези функции спомага за постигане на цялостна сигурност, способна да отблъсне атака от типа “watering hole”.
От решаващо значение е да се възприеме подход на нулево доверие, в идеалния случай с управлявани услуги, каквито откриваме в Кратката характеристика – WatchGuard Zero-Trust Application Service, които са в състояние да класифицират 100% от приложенията като злонамерен софтуер или надеждни приложения, като наблюдават дейността на всички видове приложения в крайната точка. Подходът с нулево доверие може да предотврати сложни изпълнения на заплахи, като например атаки по веригата за доставки и атаки от типа “watering hole”, като наблюдава аномално поведение на привидно легитимен софтуер и прекласифицира приложенията веднага щом извършат дейности, които обикновено се използват от нападателите. Няма съмнение, че киберпрестъпниците прилагат тактики, които стават все по-сложни и трудни за откриване, но с правилната защита, възприемането на подход с изкуствен интелект и нулево доверие е възможно да се справим с тях и да запазим корпоративните мрежи сигурни.
Източник: WatchGuard