thregence
جامع ترین و کامل ترین مرجع آموزش هک و امنیت و تست نفوذ

حمله Watering Hole چیست؟ آشنایی با حملات گودال آب و نحوه عملکرد آن ها

0 19

فهرست

حمله Watering Hole چیست؟

حملات Watering Hole نوعی از حملات سایبری هستند. در این حملات مهاجم، اهداف خود را با آلوده کردن وب‌سایت‌هایی که عموما ملاقات می‌کنند به دام می‌اندازد. مثلا فرض کنید دپارتمان امورمالی یک سازمان از وب‌سایت Example.com برای بررسی روزانه اخبار مالی استفاده می‌کنند. در این حملات، مهاجم برای آلوده کردن سیستمِ افرادِ این دپارتمان، وب سایت Example.com را آلوده می‌کنند تا سیستم کارمندان این دپارتمان به هنگام بازدید از این وب‌سایت در معرض خطر قرار بگیرند.

در حملات گودال آب از چه تکنیک‌هایی استفاده می‌شود؟

حملات گودال آب خیلی شایع نیستند و به ندرت انجام می‌شوند. اما باید توجه داشت که در صورت انجام این حملات احتمال موفقیت آن‌ها بسیار بالا خواهد بود. دلیل آن این است که هکر در این حملات وب‌سایت‌هایی را مورد هدف قرار می‌دهد که احتمالا مدت‌هاست توسط کارمندان سازمان استفاده می‌شود و کارمندان به آن اطمینان بالایی دارند. هم‌چنین این وب‌سایت‌ها از قبل اعتبارسنجی شده‌اند و احتمال اینکه در لیست سیاه قرار بگیرند و مدیران شبکه هدف آن را فیلتر کنند بسیار پایین است. مهاجمان از این طریق اکسپلویت های روز صفرم (Zero-Day) را از طریق این حملات به شبکه هدف می‌رسانند تا حتی آنتی ویروس‌ها و سیستم‌های دفاعی هم در تشخیص این حملات به مشکل بخورند.

نام حملات Watering Hole به چه معناست؟

فهمیدن دلیل نام‌گذاری این حملات می‌تواند به فهم بهتر آن‌‌ها و بخاطر سپردن آن‌ها کمک بسیار زیادی کند. Watering Hole در لغت به معنای گودال آب می‌باشد. دلیل نام‌گذاری این حملات به گودال آب این است که در طبیعت، برخی از حیوانات درنده برای به دام انداختن شکار خود در یک گودال آب کمین می‌کنند و به محض نزدیک شدن شکار به گودال آب، طعمه را به دام می‌اندازند. در این حملات نیز مهاجم منتظر می‌ماند تا قربانی وب‌سایت آلوده شده را ملاقات کند.

حملات گودال آب چگونه انجام می‌شوند؟

در حمله گودال آب، هکرها در کمین وب سایت‌های قانونی قرار گرفته و منتظر فرصتی برای هدف قرار دادن قربانیان هستند. در این حملات مهاجمان معمولا به دنبال سود مالی یا ساخت یک botnet هستند. به همین دلیل به سراغ وب سایت‌های محبوب مصرف کنندگان می‌روند و آن‌ها را آلوده می‌کنند. به طور معمول، مهاجمان وب سایت‌های عمومی را که توسط متخصصان صنایع خاص از جمله هیئت های بحث و گفتگو ، کنفرانس های صنعت و ارگان های استاندارد صنعت مورد بازدید قرار می‌گیرند، هدف قرار می‌دهند.

در این حملات مهاجم با شناسایی اهداف خود شروع می‌کنند. این اهداف عموما کارمندان سازمان‌های بزرگ، سازمان‌های دولتی یا گروه‌های حقوق بشر هستند‌. در ادامه مهاجم انواع وب سایت‌هایی را که این افراد بیشتر بازدید می‌کنند را کشف می‌کند. سپس او به دنبال آسیب پذیری در سایت می‌رود و سپس آسیب‌پذیری را اکسپلویت می‌کند. با گرفتن دسترسی، وب سایت را آلوده می‌کند و در کمین یک قربانی منتظر می‌ماند. آنها اغلب یک وب سایت را با تزریق کد مخرب HTML یا جاوا اسکریپت آلوده می‌کنند. در ادامه قربانیان را به یک وب سایت خاص، به احتمال زیاد جعلی هدایت می‌کند که بدافزار مهاجم را میزبانی می کند. قربانیان بدافزار را از این طریق دریافت می‌کنند.

در برخی از حملات، مجرمان سایبری می‌توانند بدافزارهای مخرب را تحویل دهند و نصب کنند بدون اینکه قربانی متوجه آن شود، که معمولاً به آن Drive-by Watering Hole گفته می‌شود. در این موارد قربانی از آنجاییکه اطمینان کامل به وب‌سایت آلوده دارد، به آن شک نمی‌کند. تا حدی که فایلی را دانلود می‌کند بدون اینکه متوجه شود به بدافزار آلوده است. در این حالت، مهاجم احتمالاً از بدافزارهایی مانند Remote Access Trojan (RAT) استفاده می‌کند که به آن‌ها امکان دسترسی از راه دور به رایانه قربانی را می‌دهد.

تفاوت حملات گودال آب با فیشینگ

حملات گودال آب با فیشینگ و بخصوص اسپیر فیشینگ شباهت ظاهری دارد و ممکن است اشتباه گرفته شود. تفاوت این دو حمله بیشتر در اهداف آن‌ها می‌باشد. در حملات فیشینگ و بخصوص اسپیر فیشینگ، مهاجم تلاش می‌کند که اطلاعات کاربر را برباید و یا بدافزاری را برروی سیستم او نصب کند. اسپیر فیشینگ همانند گودال آب، هدفمند است و جلوگیری از آن دشوار می‌باشد. اما تفاوتی که با گودال آب دارد این است که در حملات گودال آب مهاجم قصد دارد اولا اطلاعات موجود برروی روی سیستم قربانی را برباید و دوما بتواند از طریق سیستم او به سیستم همکاران او دسترسی بگیرد و اطلاعات آن‌ها را نیز برباید. پس می‌توان گفت در گودال آب علاوه بر قربانی، همکاران قربانی نیز در معرض خطر قرار می‌گیرند.

روش جلوگیری از حملات Watering Hole

حملات گودال آب ممکن است توسط Gateway‌های وب که امضاهای شناخته شده حمله را تشخیص می‌دهند، کشف شود. اما بیشتر اوقات، این حملات پیشرفته به راه حل‌های امنیتی قوی‌تری نیاز دارند. راه‌حل‌هایی که بتوانند فعالیت های مخرب را شناسایی، نظارت و مسدود کرده و از دسترسی کاربران به وب سایت‌های مشکوک جلوگیری کنند.

بهترین روش‌هایی که به سازمان ها کمک می‌کند تا از شبکه‌های خود و کاربران در معرض حملات گودال آب جلوگیری کنند عبارتند از:

آزمایش امنیتی منظم

سازمان ها باید مرتباً راه حل های امنیتی را آزمایش کنند تا مطمئن شوند که سطح دفاعی لازم در سازمان مهیا شده است. آزمایشات امنیتی منظم این اطمینان را می‌دهد که کاربران همیشه به طور ایمن در اینترنت مرور می‌کنند، از بارگیری بدافزار یا روت کیت‌های عمدی و غیر عمدی جلوگیری می‌کند و هم چنین دسترسی کاربران به وب سایت‌های آلوده یا مخرب را متوقف می‌کند.

حفاظت از تهدیدات پیشرفته

راه حل‌های امنیتی که از سازمان‌ها در برابر حملات پیشرفته محافظت می‌کنند برای جلوگیری از حملات حفره‌های آب بسیار مهم هستند. ابزارهای پیشرفته حفاظت از تهدید شامل راه حل‌های تجزیه و تحلیل رفتاری است که به سازمان‌ها فرصت بیشتری برای کشف اکسپلویت‌های روز صفر می‌دهد. در نتیجه چنین پیش‌گیری‌ای، قبل از اینکه مهاجمان بتوانند کاربران را هدف قرار دهند، جلوی آن گرفته می‌شود.

به روزرسانی های سیستم و نرم افزار

بهترین روش اساسی برای جلوگیری از حملات گودال آب به روزرسانی سیستم‌ها و نرم افزارها و همچنین نصب وصله‌های (Patch) سیستم عامل به محض ارائه، است. مهاجمان با کشف نقاط ضعف در کد وب سایت‌ها، آن‌ها را آلوده می‌کنند. بنابراین تشخیص نقص یا شکاف در نرم افزار قبل از کشف مجرمان سایبری برای مدیران امنیتی ضروری است.

فیلتر کردن ترافیک‌های غیرقابل اطمینان

سازمان ها باید تا زمانی که معتبر بودن تأیید ترافیک‌ها مشخص نشده است، تمام ترافیک را غیرقابل اعتماد بدانند. این امر به ویژه در مورد ترافیک third-party بسیار مهم است و باید صرف نظر از اینکه این سایت از وب سایت‌های شریک یا وب‌سایت‌های مشهور اینترنتی مانند دامنه های Google ناشی شده باشد، این مساله در نظر گرفته شود.

اعمال سیاست‌ها بوسیله SWG

دروازه‌های امن وب یا SWG که مخفف Secure Web Gateways است، به سازمان‌ها کمک می‌کند تا سیاست‌های دسترسی به اینترنت خود را اعمال کنند. در نتیجه، نرم افزارهای ناخواسته یا مخرب امکان اتصال به اینترنت را نخواهند داشت. این امر با افزایش برنامه‌های اینترنت اشیا (IoT) و سرویس‌های ابری، که باعث افزایش سطح حمله سازمان ها می‌شوند، بسیار مهم است. SWGها با کنترل برنامه، فیلتر کردن URLها، جلوگیری از نابودی داده‌ها (Data Loss Prevention)، ایزوله کردن قابلیت کنترل از راه دور مرورگرها، و بازرسی عمیق پروتکل HTTPS از سازمان‌ها در برابر تهدیدات خارجی و داخلی محافظت می‌کنند. این راه حل‌ها برای محافظت از مشاغل در برابر خطر تهدیدات پیشرفته امنیت سایبری مانند حملات گودال آب بسیار مهم است.

درباره ما

ترجنس | thregence.ir
آکادمی ترجنس | edu.thregence.ir
اینستاگرام | instagram.com/thregence
تلگرام | t.me/thregence
یوتوب | https://bit.ly/30mGowo
آپارات | aparat.com/thregence 

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.