在讲伊斯兰网站入侵这个事情之前,首先介绍下什么是水坑攻击,它是从动物的攻击中演变而来的。
《动物世界》纪录片中的一种情节:捕食者埋伏在水里或者水坑周围,等其他动物前来喝水时发起攻击猎取食物。
水坑攻击,即在受害者必经之路设置了一个水坑(陷阱),攻击者只需要静静地等待即可。攻击最终的结果,往往是窃取数据,例如黑客黑了某个公司财务的邮箱,然后通过该邮箱向全公司同事发送邮件,邮件内容要求每个人把自己的银行卡号、姓名、手机号、身份证截图发给他,黑客只需要等着收邮件就可以了,不知情的同事就会把信息提供给了黑客,进而黑客可以攻击这些人的银行账号。
应用到网站上的流程如下图,黑客通过分析被攻击者的网络活动规律,寻找用户(被攻击者)经常访问的合法网站,在该合法网站注入恶意的程序或者木马。当用户访问这个网站时,攻击程序将会触发,导致用户被攻击,“杯具”发生。
水坑攻击有几个特点:
1. 根据特定用户找寻网站,这个是重点,因为被攻击者如果永远不访问这个网站,白搭。
2. 网站要有漏洞,可以上传恶意程序,黑客要有能力拿下这个网站。
3. 隐秘性强,这点大家都懂得,用户很难意识到竟然访问一个合法网站,自己就被第三方攻击了。
4. 省心啊!在目标网站放好马儿以后,啥也不用干了,等着鱼儿上钩就好了。
那么,伊斯兰网站入侵究竟是怎么一回事呢?
有一篇国外报到,Watering holes exploiting JSONP hijacking to track users in China -- June 11, 2015,该文章指出从13年起,大量的维吾尔族和伊斯兰民族的网站被攻击。印第安纳大学系统安全实验室的一名博士研究生Sumayah Alrwais,在RSA实验室中进行调查研究,发现了一系列的水坑攻击。黑客通过水坑攻击,窃取用户的电脑数据、甚至监听用户的键盘操作,同时包括多起针对中国维吾尔族的网络间谍行动。在这一系列攻击中,有一种非常新的攻击思路:
1. 攻击者入侵维吾尔族和伊斯兰有关系的中国网站。
2. 入侵成功之后,黑客会修改网站的内容,并且通过恶意服务器来导入一个JavaScript脚本文件。
3. 这个JavaScript脚本文件会利用JSONP劫持漏洞,从15个不同的大型中文网站之中窃取用户数据,其中包括中国用户所广泛使用的五大门户网站。
4. 一旦用户登录了其中一个被入侵的伊斯兰网站,或使用了该网站所提供的受感染的服务,那么通过使用JSONP请求,攻击者便能够绕过跨域请求机制,并且能够收集到用户的个人隐私信息。
5. JavaScript脚本代码便会将用户的隐私数据传输到一个由攻击者控制的服务器中。
具体过程如图所示,首先还是黑客在伊斯兰网站种下攻击代码,等待用户访问。一个普通用户,通常在浏览器中会登陆一些常用网站(如贴吧、社交、微博等网站),而浏览器会记住这个用户的登陆状态,这个时候浏览器向这些常用网站发请求,会得到用户在该网站注册时填写的个人信息。当用户访问受感染的伊斯兰网站时,触发恶意脚本,脚本会去所有常用网站搜集用户数据,并通过浏览器将这些数据发给黑客的服务器,黑客便得到了这些用户在常用网站的个人信息。
仔细想想很可怕,通过这一途径,黑客可以知道都有哪些人,访问了伊斯兰网站,进而进行间谍活动。而用户却根本不知道,他只是访问了几个正规的网站,就被监视了。
那么,有哪些大型网站被当做窃取的目标呢,如下图可以看到,窃取范围几乎涵盖了中国最常用的门户网站:
所以,只要用户访问了这些有病毒的伊斯兰网站,恶意脚本就会去以上这些网站尝试抓取数据,比如用户此时登陆了新浪,那么你的新浪用户的ID便被抓去了,可能有人会认为一个ID而已并不可怕,其实通过ID便可以找到你的新浪微博主页,所以不要小瞧黑客,ID足以让受害者赤裸裸的展示在黑客面前。
我查阅了下最近三年的水坑攻击案例,水坑攻击的感染途径主要集中在以下几类,包括各种已知漏洞和0day漏洞:
1. IE浏览器
重要的事情说三遍——尽早放弃IE吧!尽早放弃IE吧!尽早放弃IE吧!
本人非常痛恨IE,人生苦短,远离IE。黑客最喜欢通过IE攻击用户了,为什么?因为IE本身就是个BUG!平均算下来,几乎每天都有IE的漏洞被曝光,被修复,现在微软都开始放弃IE了。
2. java
举例,2013年西藏政府网站遭黑客实施水坑攻击,采用的就是java的漏洞,CVE-2012-4681。
这类问题不好避免,建议用户在浏览器禁止java插件,只有在有需要的时候,临时允许java。
3. flash插件
flash插件,“想说爱你不容易”,永无止境的漏洞。
今年的中国黑客大会(geekpwn)上面,讲了一个事情,发现Adobe公司的产品存在漏洞,反馈后Adobe修复,然后又被发现还是有漏洞,Adobe接着又修复了,再然后还是那个地方依旧曝漏洞,Adobe继续修复,大会主讲人这时候说了,修到现在,我发现Adobe依旧还有漏洞。
4. 引导用户下载
这个比较好防范,打开个网站它就引导用户、或者自动为用户下载一个可执行程序,一旦下载运行这个程序便会中招。
谁会这么大胆的用这种方式攻击呢,当然是恩恩同学所带领的大朝鲜了,朝鲜官方新闻网站——朝鲜中央通讯社网站。这个网站挂的木马,经过黑客分析,发现代码和索尼影视被黑有相同之处,索尼被黑是因为索尼打算上映一部诋毁金正恩的电影,索尼被黑导致直接损失数亿美元、五部未上映电影流出、30287份索尼影视美国公司的文件和173132封电子邮件泄漏、索尼员工及其家人遭到黑客威胁,朝鲜水坑和索尼被黑给人留下耐人寻味的疑惑。
这是篇科普文章,希望让大家了解一些网络安全的事情,如果想深入了解伊斯兰水坑攻击的原理和防范,可以参考这篇文章:
利用JSONP原理精准定位约炮需求用户
Leave a Reply