什么是水坑攻击？

水坑攻击的原理

水坑攻击一般分为如下四个阶段：

1. 信息收集

   在信息收集阶段，攻击者会对他们的目标受害者群体进行“画像”，收集信息，了解受害者最常用的网站。这些“画像”信息包括来源于搜索引擎或受害者社交媒体主页的公开信息，和通过非法手段（如社会工程、间谍软件、键盘记录仪等）获得的信息。通常来说，攻击者会选择安全程度较低的网站作为目标，如一些中小型网站，或者技术和资金并不雄厚的网站。因为大型网站非常注意网络安全，所以会部署大量的专业安全设备，并雇佣专门的网络安全人员来维护网络，这大大提高了攻击者的成本。

2. 分析

   在选定目标网站之后，攻击者往往会对这些网站开展分析，寻找他们可以利用的域名和子域名的漏洞。零日漏洞是一类较易被攻击者利用的漏洞，因为零日漏洞是还没有补丁的安全漏洞，作为首先挖掘出漏洞的攻击者，可以借此轻松越过严密的网络防护措施，渗透入网络。

3. 准备

   在准备阶段，攻击者通过代码注入或DNS欺骗等各种手段来感染网站，改变网站的执行进程或目标网址。一些攻击者会选择在受害者访问原网站时将受害者重定向至假网站，其中包含攻击者所部署的恶意软件；另一些攻击者会选择路过式下载（Drive-by Download）的手段，将恶意软件嵌入到原网页，让受害者在使用原网站时不知不觉地下载并安装恶意软件。

4. 执行

   一旦网站已被感染，攻击者便可以等待着受害者落入他们的陷阱了。当受害者访问已被感染的网站时，浏览器即会从这些网站上下载恶意软件，恶意软件就这样进入了用户电脑。由于攻击者部署的恶意软件往往是远程访问木马病毒（Remote Access Trojan），攻击者此时便可远程操控用户电脑，获取用户个人信息、账户信息等种种敏感个人数据，并以用户电脑作为跳板，获取权限进入用户的企业网络。

水坑攻击的常用手段

水坑攻击者感染网站的方式多种多样，以下列举一些水坑攻击中常用到的技术，以及常见的应对措施：

跨站脚本攻击（Cross-site Scripting）

跨站脚本攻击又称XSS攻击，是代码注入攻击的一种。利用XSS漏洞，攻击者可以窃取Cookies或劫持会话，或注入恶意 HTML 或 JavaScript 代码到页面中，又或者将当前页面重定向至一个攻击者搭建的恶意网站。XSS漏洞的产生多是因为网站开发者没有将用户输入文本中的特殊字符进行合适的过滤，就贸然插入到 HTML 中，给了攻击者以提交恶意代码的可乘之机。在开发过程中谨慎地使用HTML转义字符，能够一定程度上降低XSS漏洞产生的风险。

SQL注入（SQL Injection）

SQL 注入是一种危险的安全漏洞，攻击者利用Web应用程序没有正确过滤用户输入的数据，向数据库服务器发送恶意 SQL 查询语句。攻击者可以利用这些恶意查询语句执行未经授权的操作，如删除、修改或者读取数据，甚至可以完全接管受影响的应用程序。预防 SQL 注入的方法包括使用参数化查询、对输入数据进行检查和过滤、使用最小权限原则以及定期安全检查和更新。

DNS欺骗（DNS Spoofing）

在DNS欺骗攻击中，攻击者通过冒充域名服务器，劫持网络浏览器对网站的DNS请求，从而将用户引导至一个不同的网站。改变用户的DNS设置一般有两种方法，暴力破解或者利用系统漏洞。DNS欺骗相较其他攻击会更难识别，因为多数受害者并不能直接感知到自己的DNS服务器已经被篡改了，只有待在仿冒网页上的操作带来糟糕的后果时，才能后知后觉地意识到攻击的发生。因此，提高安全意识，使用最新版本的DNS服务器，及时安装补丁，并使用入侵防御检测系统来预防DNS欺骗的发生是重中之重。

路过式下载（Drive-by Download）

通过路过式下载，攻击者将恶意软件嵌入到正常网站的界面中，使得受害者在不知道的情况下下载这些软件到本地，攻击者便可进一步通过用户网络在用户的组织内广泛散布恶意软件，寄生其他电脑。攻击者实施路过式下载的典型方式包括安装恶意插件，或编写Shellcode到内存。因为路过式下载的攻击目标往往是过时的系统或软件服务，所以持续更新系统与软件版本可以有效避免路过式下载的危害。

恶意广告（Malvertising）

恶意广告是一种常被攻击者用来散播恶意软件的方式。当用户在浏览网页的时候有意无意点击到页面上的恶意广告时，便会下载恶意软件，或被重定向至恶意网站。防范恶意广告需要安装防病毒软件和广告拦截器，避免访问未知网站，并定期更新浏览器和操作系统。

零日攻击（Zero-day Attack）

零日漏洞通常是指还没有补丁的安全漏洞，零日攻击则是指利用零日漏洞对系统或软件应用发动的网络攻击。由于零日漏洞的严重级别通常较高，所以零日攻击往往也具有很大的破坏性。攻击者一般会使用自动化测试工具和逆向工程技术来寻找漏洞，凭借挖掘到的零日漏洞，可以轻松越过严密的网络防护措施，渗透入网络，最终实施零日攻击。零日攻击很难防御，但是，通过建设完善的防御体系，提升人员的防范意识，可以有效减少被零日攻击的机率，降低零日攻击造成的损失。

著名的水坑攻击事件

相对而言，水坑攻击并不是最常见的社会工程攻击。然而，水坑攻击的成功率很高，一旦成功，具有强大的破坏力。以下列举了一些近年来著名的水坑攻击事件：

NotPetya攻击

2017年，攻击者通过感染某国政府网站，使得用户从网站上下载了恶意软件NotPetya，并很快蔓延至整个国家的网络。NotPetya会清空受害者硬盘上的所有内容，整场攻击造成了总计100亿美金左右的损失。

CCleaner攻击

2017年，攻击者渗入某公司网站，并将恶意软件藏于该公司旗下软件产品CCleaner的安装文件中。当含有恶意软件的CCleaner版本发布后，修改的安装文件被全球227万名CCleaner客户下载。

Adobe Flash水坑攻击

2019年，攻击者在一些慈善网站上设置了水坑。当受害者访问这些受感染的网站时，将触发一个仿冒的Adobe Flash下载窗口。当恶意软件被下载后，受害者的电脑上会出现后门，使得攻击者得以远程控制受害者的电脑，修改文件，获取个人数据与计算机活动数据。

如何预防水坑攻击

针对水坑攻击这种守株待兔式的攻击手法，最好能够做到在水坑攻击发生之前，就防患于未然。

对于组织来说，可以采取以下几点建议：

1. 加强网络安全管理：组织应该建设完善的网络安全体系，采取适当的安全措施来预防水坑攻击，包括启用防火墙、实施访问控制、定期更新软件和操作系统等。此外，也建议组织定时定期进行安全测试，以确认是否现有的安全措施能够达到成功抵御各种网络攻击的能力。
2. 教育员工：组织应该向员工提供关于水坑攻击的教育和培训，让员工了解这种攻击类型，以及如何识别和避免陷阱。员工安全意识的提高有利于降低员工浏览不安全网页的概率，以及在网页上下载恶意软件的风险。
3. 做好数据备份：组织应该定期备份数据，以确保在发生数据丢失或损坏时可以轻松地还原数据。

对于个人来说，最重要的即是要定期更新操作系统和软件，并在个人终端上安装防病毒软件、终端检测与响应软件，使漏洞与缺陷可以被及时修复，让计算机免受病毒和恶意软件的攻击。

华为如何帮助您免遭水坑攻击的危害

华为产品与解决方案能够帮助您很好地应对水坑攻击，避免受到水坑攻击的危害。

• HiSec安全解决方案

  HiSec安全解决方案让威胁检测、威胁处置及安全运维更为智能，提高了威胁抵御能力和安全运维效率。其中，零信任解决方案能够持续监测终端设备和用户的安全风险，会自动拒绝所有没有明确权限的流量进行访问，持续对每个设备、用户和网络流进行验证和授权。对于所有外部流量保持零信任是能有效预防水坑攻击，提前洞察水坑迹象的重要措施之一。

• 华为乾坤安全云服务解决方案

  华为乾坤安全云服务具备边界防护与响应服务能力，能够做到外部攻击源自动封禁，失陷主机实时告警，恶意文件精准拦截。

• HiSec Insight安全态势感知系统

  HiSec Insight采用大数据平台技术和智能检测算法，可对海量数据进行多维度关联分析，实时发现各类安全威胁事件，并还原出整个攻击链。同时，提供全网安全态势展示功能，帮助用户对网络安全状况有总体了解。HiSec Insight能够支持行为分析技术，通过对比个体行为与标准行为模式之间的差异，可以提前发现易被水坑攻击利用的安全威胁。

• FireHunter6000沙箱

  FireHunter利用多引擎虚拟检测技术以及传统的安全检测技术，识别网络中传输的恶意文件和命令与控制（C&C）攻击，能够有效避免未知威胁的扩散和企业核心信息资产损失。

• HiSecEngine USG6000E/6000F系列AI防火墙

  USG系列AI防火墙可以助您实施严格的出入方向流量控制，防卫内网威胁与外网威胁。通过应用识别、入侵防御（IPS）、反病毒等能力，USG系列AI防火墙能够对水坑攻击中的恶意软件进行有效阻断。此外，USG系列AI防火墙能够第一时间获取最新威胁信息，准确检测并防御针对漏洞的攻击，并可防护各种针对Web的攻击，包括SQL注入攻击和跨站脚本攻击等。

• VSCAN1000漏洞扫描器

  VSCAN1000支持智能主机服务发现、智能化爬虫和SQL注入状态检测等技术，并以智能便利规则库为基础，采用深度主机服务探测、Web智能化爬虫、SQL注入状态检测、主机配置检查以及弱口令检查等方式相结合的技术，实现Web漏洞扫描、系统漏洞扫描、数据库漏洞扫描、基线安全检查与口令猜解五大扫描能力，让漏洞风险评估尽在掌握。