隨著越來越多的企業大量地過濾或者限制員工電子郵件和互聯網訪問，以防止網絡釣魚攻擊和其他基于Web的攻擊，攻擊者們開始尋求其他方式來誘騙用戶訪問充滿惡意軟件的網站。

舉個例子：最近美國外交關系委員會（CFR）的網站遭受可致IE零日攻擊的攻擊，但最終的攻擊目標卻并不是CFR。攻擊者使用了被稱為水坑（watering hole）攻擊技術來攻擊訪問CFR網站的企業用戶。攻擊者們正在尋求替代辦法用以攻擊有價值信息的企業，而水坑攻擊被證明是一種有效的滲透方法。

在這篇文章中，我們將討論水坑攻擊采用的方法，以及企業如何利用虛擬機（VM）的安全性來抵御它們。

水坑技術

水坑攻擊是支點攻擊的變體，在支點攻擊中，攻擊者能夠從一個系統（最初受害者）轉移到另一個系統（預定目標）。這些攻擊主要瞄準的是目標企業的員工可能會訪問的合法網站。由于廣泛使用，這些網站可能被目標企業以及企業的各種安全工具列入白名單或者通過預先批準。

水坑攻擊的目標是使用惡意軟件感染來自目標企業的用戶，從而在該企業的系統或網絡站穩腳跟。一旦惡意軟件被安裝，攻擊者就會利用這種訪問權限來攻擊網絡其他部分。據稱，水坑方法主要被用于有針對性的間諜攻擊，而Adobe Reader、Java運行時環境（JRE）、Flash和IE中的零日漏洞被用于安裝惡意軟件。

雖然水坑攻擊方法目前并不常見，但攻擊低安全性目標以接近高安全性目標是典型的攻擊模式，也是安全部門面臨的頭痛問題。低安全性目標可能是業務合作伙伴、連接到企業網絡的供應商，或者是靠近目標的咖啡店內不安全的無線網絡。

水坑攻擊還可以通過攻擊目標網站使用的廣告網絡來執行。這涉及將惡意網站廣告，或者惡意廣告（文字或圖片）插入到將被傳送到不同網站的跳轉廣告。

安全的虛擬機是解決辦法嗎？

標準惡意軟件防御是抵御所有類型的水坑攻擊的起點，但目標企業還應該部署額外的安全控制，其中最值得關注的防御方法是使用安全的VM。企業可以在虛擬環境中運行他們的web瀏覽器，在虛擬環境中，只有對其他生產系統的有限的連接，或者使用Invincea虛擬容器等工具來限制對本地系統的訪問。這將幫助隔離用于訪問不受信任內容的工具或系統，從而降低被不受信任系統感染的風險。這些虛擬環境可以只用于批準的不受信任系統的特定交互，例如瀏覽可能被用于水坑攻擊的網站，或者這些虛擬環境可以擴展為運行完整的VM來執行不受信任的工作，例如打開電子郵件中的附件。完整的VM可以是一次性的VM，每次需要使用時再重建，這樣惡意軟件就不會保存在該VM中。

一旦惡意軟件位于瀏覽器中，請記住，它可能能夠訪問所有瀏覽器能夠訪問的內容，即使是在虛擬環境中。如果受感染的系統訪問內部或者外部網站，該惡意軟件還可以捕獲密碼和敏感數據，或者從虛擬環境攻擊其他系統。為了防止這種類型的攻擊，企業可以刪除或者禁用風險系統中最常用的有針對性的軟件，包括JRE、Flash、Adobe Reader和IE。

為了防止其網站被用于執行這種類型的攻擊，企業可以部署流程來確保其網站沒有惡意軟件。在檢查整個網站是否存在惡意軟件時，企業可以使用與用于保護Web 2.0應用相同的技術。還有些服務可以每天檢查潛在的惡意軟件，但由于一些web內容經常變化，每天檢查可能并不夠。谷歌公司的服務可以檢查網站中的惡意軟件來幫助保護他們的搜索引擎用戶；Comodo、GeoTrust等也提供類似服務。

RSA還報告稱，被盜的文件傳輸協議（FTP）證書可用于在受感染網站發布惡意內容。使用FTP來管理企業網站是高風險的，因為用戶名和密碼在未加密的情況下在網絡中傳輸，而攻擊者可能攔截這些密碼來發布惡意內容。企業可以對其web服務器進行配置，對提供內容的web服務器使用只讀文件系統，但這不會影響數據庫驅動的網站，即使用允許發布內容或來自第三方內容的web應用的網站。所有這些方法都需要安全的web服務器，針對該web服務器的漏洞利用不能被用于攻擊底層操作系統。

總結

雖然水坑攻擊造成的信息安全風險很低，企業必須時刻做好準備，因為這種有針對性的攻擊是相當高效的。攻擊者使用各種不同的攻擊方法來感染工作站，并在網絡中站穩腳跟，為了抵御這些攻擊者，企業需要保護其端點，并使用縱深防御的原則。同時，有網站的企業還應該保護其網站安全，因為網站可能用來作為水坑攻擊的渠道。