水坑攻击: APT 和网络犯罪分子如何渗透安全基础设施

我第一次接触网络犯罪分子的世界是在多年前的一次水坑攻击活动中。. 我访问了一个波斯语网站，发现它正在将恶意软件下载到访问者身上’ 浏览器. 我立即联系了网站管理员, 谁告诉我他们对这个问题没有技术知识. 很明显，他们使用的是具有众所周知的安全漏洞的过时CMS, 哪些犯罪分子正在利用这些目标受众并传播恶意软件.

水坑攻击 是网络犯罪分子和高级持续威胁青睐的一些方法 (啪��). 在这些攻击中, 网络犯罪分子使用一种称为 “战略性网络妥协” (SWC) 访问受害者组织的网络. 通过识别目标用户经常访问的网站, 攻击者可以用恶意软件感染这些网站，并将其下载给毫无戒心的用户’ 装置.

用于水坑攻击的恶意软件旨在逃避检测，并且在目标设备上未被发现, 使攻击者能够持续访问敏感信息. 这种类型的攻击特别值得关注，因为它可能会长时间未被发现, 允许攻击者随着时间的推移收集敏感信息.

水坑攻击中常用的一种恶意软件是多态恶意软件. 多态恶意软件是一种恶意软件，旨在不断更改其代码和外观，以避免被防病毒软件和其他安全措施检测到. 这种类型的恶意软件特别危险，因为它可以将自己变异成许多不同的形式, 使传统的防病毒/反恶意软件难以检测和删除它. 多态恶意软件可以使用多种方法更改其外观, 包括加密, 压缩, 和随机化.

水坑攻击对小型企业尤其危险, 由于与大型企业相比，由于安全措施较弱，它们经常成为目标. 然而, 甚至大型组织和政府机构也成为水坑袭击的受害者.

以下是您可以采取的一些步骤，以降低成为此类攻击受害者的风险:

1. 使用网页过滤: Web 过滤工具可以阻止对恶意或未知网站和网页的访问. 这可以防止用户意外从水坑下载恶意软件.
2. 使用下一代防病毒软件 (NGAV): NGAV 解决方案使用机器学习算法和行为分析等高级检测技术来识别和响应新的和以前未知的威胁.
3. 实施终结点检测和响应 (电子乙二醇): EDR 解决方案监控笔记本电脑和台式机等端点是否存在可疑行为，并可以实时响应威胁.
4. 实施基于网络的检测和响应 (NDR): NDR 解决方案监视网络通信中的可疑活动，并可以检测和响应传统防病毒解决方案可能遗漏的威胁.
5. 使用威胁情报: 威胁情报服务可以提供有关新出现的威胁的信息, 包括多态恶意软件. 您可以使用此信息来识别潜在威胁并采取适当的措施来保护您的网络
6. 实施零信任网络: 零信任网络是一种安全模型，它假定网络上的每个用户和设备都是潜在威胁. 用户在访问网络上的资源之前必须经过身份验证, 并且访问仅限于必要的内容.
7. 使用网络分段: 网络分段有助于将关键系统和敏感数据与网络的其余部分分开. 这可以防止恶意软件在成功攻击时传播.