Tấn công “Watering Hole Attack” là hình thức tấn công được nhắc đến gần đây, thường liên quan tới các cuộc tấn công có chủ đích vào các cơ quan, tổ chức, doanh nghiệp. Thông qua việc lừa người dùng truy cập vào các website chứa mã độc. Kẻ tấn công thường nhắm đến các website có nhiều người truy cập, các trang web đen hoặc tạo ra các website riêng của chúng để lừa người và cố gắng chèn các mã khai thác liên quan đến các lỗ hổng trình duyệt vào website. Bất cứ khi nào người dùng truy cập vào website, các mã độc này sẽ được thực thi và lây nhiễm vào máy tính của người dùng.
Kịch bản tấn công có chủ đích
Kỹ thuật tấn công “watering hole” khi sử dụng trong các cuộc tấn công có chủ đích (APT attack – targeted attack) thường hoạt động theo kịch bản sau:
- Kẻ tấn công sẽ cố gắng thu thập các dữ liệu về tổ chức, doanh nghiệp mà họ muốn tấn công. Các thông tin thu thập có thể bao gồm danh sách các website mà các nhân viên hay thành phần lãnh đạo của tổ chức thường xuyên truy cập. Và bắt đầu tìm kiếm các website mà họ để có thể xâm nhập, ngoài ra hacker thường sử dụng kỹ thuật tấn công “local attack” để tìm kiếm nhiều các website trên cùng một máy chủ để thực hiện tấn công.
- Sau khi đã chiếm được quyền điều khiển của một website mà các nhân viên của tổ chức thường xuyên truy cập. Hacker sẽ thực hiện chèn các mã khai thác vào website. Thông thường thì sẽ là các lỗ hổng bao gồm cả lỗ hổng đã có bản vá hay các cả lỗ hổng 0-day để khai thác qua trình duyệt, flash hay Java (Flash & java thường được cài đặt mặc định trên máy tính của người sử dụng).
- Bất cứ khi nào ai đó hoặc nhân viên của tổ chức truy cập vào website này thì lập tức mã độc sẽ được thực thi và hacker có thể chiếm được quyền điều khiển cũng như cài đặt các chương trình độc hại được điều khiển từ xa (RAT) lên máy tính nạn nhân từ đó khai thác các thông tin từ người dùng hoặc sử dụng chính máy đó làm zombie để tấn công các máy tính khác.
Cách bảo vệ bạn trước các cuộc tấn công này
- Cập nhật phần mềm liên tục. Watering hole attack thường xử dụng cả các lỗ hổng cũ, đã có bản vá, vì vậy việc bạn luôn sử dụng phần mềm được cập nhật sẽ giúp bạn tránh xa các nguy cơ này.
- Cảnh giác khi thực hiện truy cập vào các website, đặc biệt là các website không nổi tiếng vì các website này rất có thể đang tồn tại lỗ hổng mà tin tặc có thể nhắm vào để khai thác.
- Phát hiện qua lưu lượng mạng. Mặc dù những kẻ tấn công có thể xử dụng nhiều kỹ thuật tấn công hay các mã khai thác (payload) khác nhau, tuy nhiên khi các mã độc này kết nối tới các máy chủ điều khiển C & C. Bằng việc phát hiện trên các kết nối lạ, hay các lưu lượng mạng bất thường các tổ chức có thể thực hiện các biện pháp đảm bảo an toàn có thể phát hiện được các hành động tiếp theo của mã độc.
- Việc phân tích tương quan dữ liệu lớn (Big Data Analytics) có thể phát hiện được các máy tính đã bị khai thác khi chúng cố gắng hoặc cùng kết nối đến các máy chủ điều khiển C & C.
Đối tượng
- Watering Hole attack thường được sử dụng nhiều trong các cuộc tấn công APT. Tuy nhiên, nhiều kịch bản đã cho thấy kỹ thuật này có thể được áp dụng cho rất nhiều cuộc tấn công, nhằm phát tán virus, mã độc. Đối tượng có thể là các website có nhiều người truy cập, các trang web đen, các trang web ẩn và phải truy cập bằng Tor… Gần đây FBI cũng áp dụng cách này để phát tán mã độc nhằm phát hiện người dùng ẩn danh trong mạng Tor khi truy cập vào các trang web này.