俗話說：“姜太公釣魚，愿者上鉤。”在今天的信息安全領域，黑客通過實施水坑式攻擊，讓這句古老的諺語背離了其原有的涵義。

　　“在瞄準目標對象之后，黑客并不急于對其展開攻擊，而是先分析對方的行為特點，比如經常訪問哪些社交網站、電子商務網站、天氣預報或新聞網站，然后攻擊目標對象經常訪問的網站，植入惡意軟件。一旦用戶點擊瀏覽該網站，木馬病毒就會被植入目標對象的終端設備。”賽門鐵克中國區安全產品總監卜憲錄的描述非常形象，“黑客就像是非洲大草原上在水坑旁埋伏著的獅子一樣，等待獵物自己送上門來。”

　　新“釣魚”手段

　　根據賽門鐵克發布的《第十八期互聯網安全威脅報告》(以下簡稱《報告》)，針對性攻擊在2012年數量猛增42%。針對性攻擊正在取代DDoS成為主流的攻擊手段。

　　傳統的APT攻擊大多采用魚叉式的攻擊手法。黑客通過有針對性地給攻擊對象發送垃圾短信或者精心設計好的欺詐郵件，在附件或鏈接中植入病毒或木馬，用戶只要點擊就會中招。

　　不過，魚叉式攻擊的效果正在減弱。這一方面是由于安全產品對釣魚郵件的偵測能力不斷提高，另一方面是因為企業的安全意識正在上升。趨勢科技中國區高級研究員谷亮認為：“黑客使用這種方式，只能等待攻擊對象點擊釣魚郵件中的鏈接或者打開郵件附件。但是隨著針對性攻擊事件不斷發生，人們對釣魚郵件的警覺性正在逐漸增強，使得釣魚郵件的攻擊成功率受到影響。”

　　因此，黑客攻擊的方式呈現出多元化和復雜化的趨勢。2013年備受矚目的水坑式攻擊就是其中之一。黑客不再直接攻擊最終目標，而是轉向對方信任并且經常訪問的網站，當攻擊目標前往該網站時，木馬病毒就會被植入對方的終端。通過這種新型的APT攻擊方式，黑客屢屢得逞，安全廠商防不勝防。

　　黑客在發起水坑式攻擊之前，需要針對目標對象搜集大量信息，這往往會耗費大量時間，因此水坑式攻擊目前并不普及。盡管如此，其破壞范圍更廣、破壞力更強的特點，足以引起人們的注意。“水坑式攻擊的目標通常是商業組織、人權組織和政府機構。黑客會盡可能多地攻擊目標對象經常訪問的網站，從而提高攻擊的成功率。”谷亮告訴本報記者，“人們對于自己經常訪問的網站往往不存戒心，水坑式攻擊正是利用了這個警覺性的盲區實施攻擊的。此外，由于不借助郵件實施攻擊，這類攻擊還降低了被安全產品檢測出來的概率。”

　　水坑式攻擊的影響范圍更廣泛。一旦訪問受攻擊網站，訪問者的終端都會感染相應的木馬病毒。“水坑式攻擊可以在極短時間內鎖定大量攻擊目標。”卜憲錄舉例稱，“2012年，Elderwood Gang在人力資源網站上設伏，一天之內就有500個公司因此受損。這種攻擊的效率遠遠超過傳統的魚叉式攻擊，因此破壞力更大。”

　　零日漏洞是幫兇

　　水坑式攻擊之所以能夠迅速捕獲大量攻擊對象，一個重要的原因是它充分利用了網站的漏洞，尤其是零日漏洞。黑客趕在零日漏洞被修補前攻擊，木馬病毒被迅速擴散，黑客攻擊的成功率極高。“零日漏洞是黑客發起水坑式攻擊的土壤。”卜憲錄透露，2012年賽門鐵克檢測到14個新增零日漏洞，盡管這一數字在所有漏洞中所占的比例并不高，但是威脅極其巨大。

　　同時，合法網站正在被黑客利用，成為其發起攻擊的武器。比如，黑客可以在網站上購買廣告位，然后將廣告鏈接到非法網站，用戶一旦點擊廣告就會感染黑客事先植入的木馬病毒。卜憲錄表示：“透過合法途徑，黑客很容易獲得網站的控制權，并且省去了大量用于尋找網站漏洞的時間和精力。”賽門鐵克《報告》顯示，53%合法網站存在未修補的漏洞，24%的合法網站存在未修補的致命漏洞。

　　此外，某些在產業鏈上占據重要位置，或者具有知識產權的中小企業網站，也成為黑客發起攻擊的武器。黑客在侵入安全防護體系較為脆弱的中小企業后，收集相關資料，然后向位于其產業鏈上下游的最終目標發起攻擊。“賽門鐵克調查發現，2012年針對員工數低于250人的公司發起針對性攻擊的數量同比大幅增長1.7倍。”卜憲錄認為，地下產業鏈越來越龐大，攻擊工具包越來越普及，攻擊一個網站正變得更加容易。而越來越多的網站遭到攻擊，也為黑客實施水坑式攻擊提供了便利的渠道和土壤。

　　多層次防御

　　由于實施了曲線攻擊方式，攻擊手段隱蔽，水坑式攻擊難以被發現。正如卜憲錄所言：“水坑式攻擊具有隱蔽性、復雜性、持續性等特點，對它的防御絕對不是某一個單點的安全產品或者一個單獨的技術就能夠實現的。”

　　而在中國電子信息產業發展研究院信息安全研究所所長劉權看來，盡管存在難度，發現水坑式攻擊并非無跡可尋，“企業要通過安裝防火墻，及時更新所有系統補丁，在多個級別都激活先進的入侵檢測系統，并且經常檢查相關數據，才能確定是否受到了水坑式攻擊”。

　　趨勢科技《2013年信息安全預測報告》預測，2013年水坑式攻擊將被更多黑客組織所利用。攻擊日益復雜的攻擊， 企業該如何加強防范呢?

　　對此，賽門鐵克給出了三點建議：

　　第一，提升整個企業安全防控意識。“提高意識是最重要的。”卜憲錄強調，如果員工的風險意識不夠，企業網絡很容易被簡單的社交工程攻擊攻破，這樣的話，即便是企業有再高的安全防護技術和產品，都無濟于事。

　　第二，建立層次化、結構化的防御手段。“水坑式攻擊的出現對企業的整個安全防控措施提出了更高的要求，如果員工通過辦公網對外進行訪問，企業應該有一套過濾防控手段，判別這個網站是否安全。”卜憲錄認為，企業還需要在網絡層、數據層、應用層等各個層面綜合考慮，建立完整的防御體系，而不是單獨依靠某一技術手段。

　　第三，企業應該特別關注核心信息的防護。這是因為黑客發起水坑式攻擊的目標，大多是沖著企業的核心資產而來。“無論黑客的目的是搞破壞還是開展其他非法活動，都要收集企業的核心信息。”卜憲錄提醒，企業保護好自己的核心數據，對于防范水坑式攻擊，以及其他APT攻擊，“都是絕對有幫助的”。

　　此外，從安全廠商的角度看，劉權認為廠商之間的合作是非常有必要的，“安全廠商應該通過各種技術手段，建立情報分享網絡，幫助客戶了解當前整體的網絡安全態勢，同時通過專家團隊提供咨詢服務，幫助企業制定可操作的安全解決方案。”

　　水坑式攻擊著名案例

　　2013年2月，包括蘋果、Facebook和Twitter在內的科技公司網站紛紛遭遇了黑客入侵，而這一連串的攻擊都具有一個共同點，就是這些公司的員工都曾經訪問過一個頗受歡迎的移動開發者信息共享網站iPhoneDevSdk。Facebook一名員工瀏覽了這個網站后，該網站HTML中內嵌的木馬代碼便利用甲骨文Java漏洞侵入了這名員工的筆記本電腦;Twitter遭受攻擊之后，該網站多達25萬個用戶的賬號存在安全風險。

　　2013年3月，韓國多家媒體和金融機構遭遇黑客的連環攻擊，其中水坑式攻擊的危害令人心有余悸。黑客通過攻擊韓國本地最大的反病毒廠商AhnLab的更新服務器，利用更新服務器下發惡意程序到終端。當終端用戶更新反病毒軟件時，不但不會對終端起到保護作用， 反而使惡意程序入侵。通過這種手段，黑客迅速擴大了攻擊范圍，并使攻擊對象的IT系統癱瘓。