Email Security

    Watering Hole Angriffe erklärt: Was sie sind und wie man sie verhindern kann

    Wie ein Löwe, der eine Antilope an ihrer Lieblingstränke angreift, lauern Cyberkriminelle auf Ihre bevorzugten Websites und Tools.

    by Giulian Garruba

    Wichtige Punkte

    • Da die Opfer von Watering-Hole-Angriffen eine Website häufig nutzen, denken sie selten über deren Sicherheit nach, so dass sie anfällig für Überraschungsangriffe aus verschiedenen Quellen sind.
    • Normalerweise werden Watering Hole-Angriffe in vier Schritten durchgeführt, die darauf abzielen, eine von vielen Arten von Web-Exploits zu überwachen, zu analysieren und auszuführen.
    • Mit der richtigen Ausbildung, Intelligenz und den richtigen Werkzeugen kann die Identifizierung von Angriffen auf Wasserlöcher ganz einfach sein.

    Cyberangriffe haben in den letzten zehn Jahren exponentiell an Raffinesse gewonnen, so dass viele Unternehmen mit der Aufrechterhaltung der Netzwerk- und Datensicherheit zu kämpfen haben, während neue, bisher unbekannte Bedrohungen auftreten. Begriffe wie Malware, Phishing und sogar Denial-of-Service-Angriffe sind den meisten Menschen vertraut. Andere Begriffe, wie z. B. "Wasserlochangriffe", sind jedoch möglicherweise völlig neu.

    Im Folgenden untersuchen wir, was Watering-Hole-Angriffe sind, wie sie funktionieren und wie Sie und Ihr Unternehmen das Bewusstsein für diese Bedrohungen schärfen und sich vor ihnen schützen können.

    Was sind Watering Hole-Angriffe und wie funktionieren sie?

    Angriffe auf Wasserlöcher, manchmal auch als Wasserloch-Phishing bezeichnet, sind von der Natur inspiriert, z. B. wenn ein Raubtier seine Beute angreift, während diese an einem Wasserloch anhält, um zu trinken. Stellen Sie sich vor, ein Löwe versteckt sich an einer beliebten Wasserstelle in der Savanne und stürzt sich auf eine ahnungslose Antilope, die sich zum Trinken bückt. Die Antilope ist ein leichtes Ziel, aber die Wasserstelle ist auch ein Ort, an dem sich regelmäßig alle Arten von Tieren versammeln. 

    Der Grund für diese Analogie wird deutlich, wenn wir einen Wasserloch-Angriff im Zusammenhang mit der Cybersicherheit definieren. Bedrohungsakteure versuchen, ihre Ziele dort anzugreifen, wo sie sich versammeln, in der Regel auf Websites, die von der Zielperson häufig genutzt werden. Da die Zielperson diese Website häufig nutzt, denkt sie kaum noch über deren Sicherheit nach und ist somit anfällig für Überraschungsangriffe aus verschiedenen Quellen.

    Das Konzept hinter den Watering-Hole-Angriffen ist klar, aber auch die Methoden, die Cyberangreifer anwenden, um sie zu implementieren und davon zu profitieren, sind wichtig zu verstehen. Normalerweise werden Watering Hole-Angriffe in vier Schritten durchgeführt, die darauf abzielen, eine von vielen Arten von Web-Exploits zu überwachen, zu analysieren und auszuführen. Diese Schritte umfassen in der Regel Folgendes:

    Sammeln von Informationen durch Tracking 

    Watering Hole-Angreifer beginnen mit der Identifizierung eines Ziels und dem Sammeln von Informationen über dessen Web-Browsing-Gewohnheiten. Dabei kann es sich um häufig besuchte öffentliche Websites, unternehmens- oder branchenspezifische Websites oder auch um Tools wie Webmail und Cloud-Speicher handeln. Bedrohungsakteure verwenden eine Reihe von Tools, um diese Informationen zu sammeln, darunter Suchmaschinen, Seiten sozialer Medien, demografische Daten von Websites, Social Engineering, Spyware und Keylogger.

    Analysieren von Websites auf Schwachstellen 

    Sobald geeignete Ziele identifiziert wurden, beginnen die Cyberangreifer damit, die Liste der Websites auf Schwachstellen und Sicherheitslücken auf der Ebene der Domänen und Subdomänen zu analysieren. Außerdem können Website-Klone erstellt werden, um dem Ziel vorzugaukeln, dass es sich um die offizielle Website handelt. Manchmal wird beides zusammen verwendet, indem eine legitime Website kompromittiert wird, um Ziele auf eine bösartige Seite zu führen.

    Exploits vorbereiten und Ziel-Websites infizieren 

    Web-basierte Exploits werden verwendet, um die vom Ziel häufig genutzten Websites zu infizieren. Cyberangreifer konzentrieren sich auf Technologien wie ActiveX, HTML, JavaScript, Bilder und andere Vektoren und versuchen, die vom Ziel verwendeten Browser zu kompromittieren. Ausgefeilte Angriffe können es den Akteuren sogar ermöglichen, Besucher mit bestimmten IP-Adressen zu infizieren.

    Warten Sie darauf, dass das Ziel arglos Malware herunterlädt

    Die Phishing-Infrastruktur für das Wasserloch ist nun vorhanden, und böswillige Akteure müssen nur noch darauf warten, dass die Malware aktiviert wird. Dies geschieht, wenn der Browser des Ziels ahnungslos die vorinstallierte Software von den kompromittierten Websites herunterlädt und automatisch ausführt. Dies funktioniert, da Webbrowser oft wahllos Code auf Computer und Geräte herunterladen. 

    Wie Einzelpersonen sich vor Watering Hole-Angriffen schützen können

    Die Vorbeugung von Watering Hole-Angriffen für Privatpersonen besteht darin, bei jeder Online-Nutzung gute Cybersicherheitspraktiken anzuwenden. Das bedeutet, dass Sie beim Surfen im Internet darauf achten müssen, wo und was Sie anklicken, und dass eine hochwertige Antiviren-Software installiert und regelmäßig aktualisiert wird. Browserschutz-Apps und VPNs können ebenfalls hilfreich sein, indem sie die Nutzer auf potenziell bösartige Websites oder Downloads aufmerksam machen und diese gegebenenfalls vollständig blockieren. 

    Wie sich Unternehmen vor Watering Hole-Angriffen schützen können

    Unternehmen können durch verschiedene fortschrittliche Cybersicherheitstools und -protokolle einen robusteren Ansatz zur Verhinderung von Wasserlochangriffen wählen. Dazu gehören:

    • Sensibilisierung für Angriffe durch Wasserlöcher und Schulung der Mitarbeiter durch Programme zur Förderung des Sicherheitsbewusstseins , damit sie verdächtige Aktivitäten schneller erkennen können.
    • Sicherstellung, dass die gesamte Software, einschließlich der nicht sicherheitsrelevanten Software, auf dem neuesten Stand ist. Watering-Hole-Angriffe suchen aktiv nach Schwachstellen, daher sind regelmäßige Schwachstellenscans und Sicherheits-Patches eine wichtige Verteidigungslinie.
    • Verwendung von Secure Web Gateways (SWG) zum Herausfiltern von webbasierten Bedrohungen und zur Durchsetzung von Richtlinien zur akzeptablen Nutzung. Ein SWG fungiert als Vermittler zwischen dem Benutzer und der externen Website, blockiert bösartigen Netzwerkverkehr und ermöglicht den Mitarbeitern ein sicheres Surfen.
    • Sicherstellung, dass der gesamte Datenverkehr, der das Netzwerk des Unternehmens durchläuft, als nicht vertrauenswürdig behandelt wird, bis er überprüft wurde.
    • Verwendung von Endpunkt-Erkennungs- und Reaktionstools zum Schutz Ihres Unternehmens vor neuen Malware-Bedrohungen. 

    Beispiele für Watering Hole-Angriffe in aktuellen Ereignissen

    In den letzten zehn Jahren gab es eine ganze Reihe von Watering Hole-Angriffen, von denen viele auf hochrangige Organisationen abzielten, die angeblich einen erstklassigen Cybersecurity-Schutz implementiert haben. Dies bedeutet, dass jede Art von Organisation für diese Angriffe, die als Advanced Persistent Threats (APTs) bezeichnet werden, anfällig sein kann. Hier sind einige konkrete Beispiele für aufsehenerregende Angriffe auf Wasserlöcher:

    2012 - Amerikanischer Rat für auswärtige Beziehungen

    Über eine Sicherheitslücke im Internet Explorer infizierten die Cyberangreifer den CFR. Watering Hole Phishing zielt auf Browser ab, die nur bestimmte Sprachen verwenden, die ausgenutzt werden können. 

    2016 - Polnische Finanzbehörde

    Die Forscher entdeckten ein Exploit-Kit, das in den Webserver der polnischen Finanzbehörde eingebettet war und auf 31 Länder, darunter Polen, die Vereinigten Staaten und Mexiko, abzielte. 

    2019 - Weihwasser

    Durch die Einbettung eines bösartigen Adobe Flash-Pop-ups, das einen Download-Angriff auslöste, wurden Dutzende von religiösen, karitativen und ehrenamtlichen Websites infiziert. 

    2020 - SolarWinds

    Das IT-Unternehmen SolarWinds war das Ziel eines weitreichenden Wasserloch-Angriffs, der lange Zeit lief. Nach monatelanger Arbeit der Cyber-Intelligence wurde aufgedeckt, dass staatlich gesponserte Agenten Watering Hole Phishing nutzen, um Cybersicherheitsunternehmen, das Finanzministerium, den Heimatschutz und andere auszuspionieren.

    2021 - Hongkong

    Die Threat Analysis Group von Google stellte zahlreiche Watering-Hole-Angriffe fest, die sich auf Nutzer konzentrierten, die Medien- und pro-demokratische Websites in Hongkong besuchten. Sobald die Malware erfolgreich war, installierte sie eine Hintertür bei Personen, die Apple-Geräte verwendeten.

    Woran man erkennt, ob man Opfer eines Wasserloch-Angriffs geworden ist

    Da Watering-Hole-Angriffe darauf abzielen, uns vorzugaukeln, dass wir eine vertrauenswürdige Website oder eine legitime Quelle besuchen, können sie schwer zu erkennen sein. Wenn Sie den Angriff nicht in Echtzeit an der Quelle erkannt haben, ist der nächste wahrscheinliche Indikator, dass sich Ihre Netzwerke anders verhalten und Daten verschwinden oder nicht mehr zugänglich sind. Aus diesen Gründen ist besondere Wachsamkeit bei Zero-Day-Exploits von entscheidender Bedeutung, da dies die häufigsten Vektoren für Watering Hole Phishing sind.

    Die Quintessenz: Watering Hole Angriffe 

    Das vielleicht Beunruhigendste an Watering Hole-Angriffen ist, dass sie immer wieder auf Personen und Organisationen abzielen, denen die Menschen vertrauen. Die Identifizierung dieses speziellen Cyberangriffs kann jedoch mit der richtigen Ausbildung, Intelligenz und den richtigen Tools ganz einfach sein. Denken Sie daran, dass bewährte Verfahren für die Cybersicherheit aus einem bestimmten Grund bestehen und unbedingt angewendet werden sollten.

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang