「Watering Hole(水坑)」是用來描述針對性惡意軟體攻擊時,攻擊者入侵合法網站去插入一個「drive-by(偷渡式)」漏洞攻擊碼以攻擊網站訪客的流行用語。
當然,這種攻擊並不是新的。這項技術一直被網路犯罪份子用在無差別攻擊以及針對性惡意軟體攻擊上。我在二〇〇九年和二〇一〇年記錄了這種技術,而這裡有更多最近的例子。
雖然網路犯罪份子利用「drive-by(偷渡式)」漏洞攻擊碼是為了能夠不分對象地攻擊入侵越多的電腦,而使用這技術的APT進階持續性威脅 (Advanced Persistent Threat, APT)活動被Shadowserver恰當地描述為「策略式網站入侵」。目標的選擇是針對攻擊對象會感興趣的特定內容。這種攻擊通常會結合新的「drive-by(偷渡式)」漏洞攻擊碼。
最近,一個影響微軟Internet Explorer的零時差漏洞攻擊碼被發現在跟Nitro攻擊活動有關的伺服器上,和最近用來提供Java零時差漏洞攻擊碼是同一台伺服器。它們的有效負荷(Payload)都是Poison Ivy。第二個放有Internet Explorer零時差漏洞攻擊碼的網站很快就被發現,不過它的有效負荷(Payload)是PlugX。
整體而言,我們已經發現了至少十九個網站包含IE零時差漏洞攻擊碼。雖然無法完全的確認,但至少有部分網站屬於「水坑」攻擊。
| {BLOCKED}h2.mysoft.tw |
| {BLOCKED}tix.com |
| get.{BLOCKED}s.com |
| ie.{BLOCKED}1.co.uk |
| info.{BLOCKED}u.edu.tw |
| invitation.{BLOCKED}as.com |
| {BLOCKED}fessional-symposium.org |
| {BLOCKED}o.konkuk.ac.kr |
| service.{BLOCKED}a.com.tw |
| {BLOCKED}k.vip-event.info |
| update.{BLOCKED}alive.com |
| w3.{BLOCKED}u.edu.tw |
| www.as.{BLOCKED}e.edu.tw |
| www.{BLOCKED}news.in |
| www.{BLOCKED}gameshow.com |
| www.{BLOCKED}e.com |
| www.{BLOCKED}a.org.tw |
| www.{BLOCKED}sia.tv |
| www.{BLOCKED}in.com.tw |
有趣的是,這十九個網站可以分成十四組。換言之,除了利用此漏洞的共同點外,他們之間沒有任何明顯的關連。從其中十一組中,我們發現了十一種不同的有效負荷(Payload)(其他三組,我們無法收集到有效負荷(Payload))。
除了和Nitro相關的Poison Ivy還有上面所提到的PlugX遠端控制木馬外,趨勢科技發現了其他熟悉的遠端控制木馬,和一些不熟悉的(至少對我來說)惡意軟體。其中一個被識別出的遠端控制木馬是invitation.{BLOCKED}as.com的有效負荷(Payload),被稱為「DRAT」遠端存取木馬,是由「Dark Security Team」所開發的遠端存取木馬,並且在網路上被廣泛使用。
