A vízpontos támadás (más néven vízlyuk-támadás ; angolul: Watering Hole ) egy kiber támadási technika, amelynek során egy törvényes webhelyet kell csapdába ejteni annak érdekében, hogy megfertőzzék a támadó által célnak tartott domain látogatóinak gépeit.
Állítólag ezt a technikát először az Elderwood bandának nevezett kiberbűnözők csoportja valósította meg . 2012-ben ezután lehetővé tette a bandának, hogy 24 órán belül több mint 500 vállalatot fertőzzen meg. A támadást 2012 júliusában fedezte fel az RSA Security .
A víznyelő támadás neve egy ragadozóra (például egy oroszlánra) utal, aki ahelyett, hogy a területén lévő zsákmányát (például egy gazellát) támadná meg , inkább egy olyan helyen várja, ahol biztos, hogy el fog jönni (ebben az esetben egy vízben, ahol inni fog).
A támadást hacker / ragadozó követi az áldozat / zsákmány böngészési szokásainak figyelemmel kísérésére (amely lehet egy személy vagy egy célvállalatnál dolgozó embercsoport).
Néha a víz pont könnyű megtalálni. Például, ha egy szoftverkiadót akar támadni , könnyen biztosíthatja, hogy a vállalat fejlesztői olyan webhelyeket látogassanak el, amelyek tippeket kínálnak a tevékenységével foglalkozó eszközeiről vagy fórumairól.
A vízi ponton az internetes bűnöző kódot helyez el (például egy XSS típusú sebezhetőség révén ), amely lehetővé teszi, hogy kihasználja a nulla napos sérülékenységet, amelyet az áldozat használhat a gépén. A kihasznált hibára példa a Java kliens, amely lehetővé teszi a gh0st RAT (Remote AccessTrojan) trójai telepítését az áldozat gépére, lehetővé téve a számítógépes bűnöző számára , hogy kémkedjen és átvegye a fertőzött gépek irányítását.
Általában ez a trójai faló megfertőzi a vállalat összes gépét és szerverét, így az internetes bűnözők hozzáférhetnek e gépek összes számítógépes adatához (névjegyekhez, banki adatokhoz, forráskódokhoz, aktuális projektekhez, személyes fotókhoz stb.), De hogy átvegye a gép irányítását, hogy eltörölje a csalárd hozzáférés minden nyomát.
Ez lehet egy JavaScript- kód, amelyet a sérült oldal betöltésekor hajt végre.
Az útválasztók vagy a tűzfalak szintjén a biztonság ( ACL ) egyik alapelve az , hogy blokkolja a kívülről indított kapcsolatokat, és engedje a generált forgalmat. A vízhozzáférés jogos forgalomnak tekinthető (a 80 - as , 443-as vagy 53- as porton keresztül ), ezért észrevétlen marad, mivel a kapcsolatot egy belső gép fogja kezdeményezni. Ne feledje, hogy a hálózati címfordítási módszerek használata (beleértve a PAT port fordítását is) megvédi azokat a belső gépeket, amelyek soha nem rendelkeznek útválasztható címmel ( RFC7535 ), de megosztják a szállítójuk által megadott címet . ”Internet-hozzáférés .
Itt található a kihasználható elemek listája:
A fertőzés belsőleg számos módon fordulhat elő, például:
Szükség van a webböngészők és az Acrobat Reader frissítésére, amelyeket el kell végezni, de ezek a műveletek nem elégségesek, mivel nem védenek a nulla napos sebezhetőségek ellen .
A JavaScript kód blokkolása nem megoldás, mert rontja a weboldalak megjelenítését.
A komoly megoldások a következők: