Атаки Watering Hole: как APT и киберпрестъпниците проникват в защитени инфраструктури
Моята първа среща с света на киберпрестъпниците се случи чрез кампания за водещи атаки преди много години. Посетих персийски уебсайт и открих, че той изтегля злонамерен софтуер на посетителите’ браузъри. Веднага се свързах с администратора на сайта, който ме информира, че няма технически познания за проблема. It became apparent that they were using an outdated CMS with well-known security vulnerabilities, which criminals were exploiting to target specific audiences and spread malware.
Атаки Watering Hole are some of the methods favored by cyber criminals and advanced persistent threat (APTs). In these attacks, cybercriminals use a tactic called “strategic web compromise” (SWC) to gain access to the victim’s organization’s network. By identifying websites frequently visited by target users, an attacker can infect those websites with malware and download it to an unsuspecting users’ device.
Malware used in watering hole attacks is designed to evade detection and remain undetected on the target’s device, giving attackers continuous access to sensitive information. This type of attack is of particular concern because it can go undetected for long periods of time, allowing attackers to gather sensitive information over time.
One type of commonly used malware in watering hole attacks is polymorphic malware. Polymorphic malware is a type of malicious software designed to constantly change its code and appearance in order to avoid detection by antivirus software and other security measures. This type of malware is particularly dangerous as it can mutate itself into many different forms, making it difficult for traditional antivirus/ anti-malware software to detect and remove it. Polymorphic malware can change its appearance using a variety of methods, including encryption, compression, and randomization.
Watering hole attacks are especially dangerous for small businesses, тъй като често са таргетирани поради по-слабите мерки за сигурност в сравнение с големите предприятия. Въпреки това, дори големи организации и държавни агенции са станали жертви на атаки чрез водни точки.
По-долу са някои стъпки, които можете да предприемете, за да намалите риска да станете жертва на този тип атаки:
- Използвайте уеб филтриране: инструментите за уеб филтриране могат да блокират достъпа до зловредни или непознати уебсайтове и уебстраници. Това предотвратява случайното изтегляне на злонамерен софтуер от водната точка.
- Използвайте антивирус от следващо поколение (NGAV): NGAV решенията използват усъвършенствани техники за откриване като алгоритми за машинно обучение и поведенчески анализи, за да идентифицират и реагират на нови и предишно неизвестни заплахи.
- Прилагане на откриване и отговор на крайни точки (EDR): EDR solutions monitor endpoints such as laptops and desktops for suspicious behavior and can respond to threats in real time.
- Implement Network-based detection and response (NDR): NDR solutions monitor network traffic for suspicious activity and can detect and respond to threats that traditional antivirus solutions may miss.
- Employ threat intelligence: Threat intelligence services can provide information about emerging threats, including polymorphic malware. You can use this information to identify potential threats and take appropriate action to protect your network
- Implement a zero trust network: A zero trust network is a security model that assumes that every user and device on the network is a potential threat. Users must be authenticated before accessing resources on the network, и достъпът е ограничен до необходимото.
- Използвайте сегментация на мрежата: Сегментацията на мрежата помага да се отделят критични системи и чувствителни данни от останалата част на мрежата. Това предпазва от разпространение на зловреден софтуер в случай на успешна атака.
След отказ от отговорност
Мненията, информация, или изразените мнения са единствено на автора и не представляват непременно тези на неговия работодател или на организациите, с които е свързан.
Информацията, съдържаща се в този пост, е само с обща информационна цел. Информацията се предоставя от Фархад Мофиди и докато той се стреми да поддържа информацията актуална и точна, той не дава никакви изявления или гаранции от какъвто и да е вид, ясни или косвени, относно пълнотата, точността, надеждността, пригодността или наличността на уебсайта. Фархад не прави никакви изявления или гаранции. или за каквато и да е информация, продукти или свързана графика, съдържаща се в който и да е пост за каквато и да е цел.
Също така, AI може да се използва като инструмент за предоставяне на предложения и подобряване на някои от съдържанията или изреченията. Идеи, мисли, мнения, и крайните продукти са оригинални и създадени от човека автор.