martes, 27 de mayo de 2014

Ataques Watering Hole

Watering Hole es una técnica de ataque que consiste en comprometer sitios web legítimos para instalar en ellos algún mecanismo de infección (por ejemplo un exploit para el navegador o un documento malicioso) e intentar infectar a los usuarios que visiten sus páginas.


El termino viene de la técnica de caza que utilizan algunos depredadores que esperan a sus presas cerca de los sitios donde acuden a beber (watering hole = abrevadero).


Algunos analistas utilizan también la denominación SWC (Strategic Web Compromise) para referirse a esta técnica de ataque.

Normalmente los ataques de Watering Hole son un primer componente de ataques dirigidos de mayor alcance. Se inician con el compromiso de sitios que tengan relación con la entidad a atacar. Por ejemplo si es una entidad financiera se comprometen portales de bolsa, si es una entidad militar se comprometen portales de temática militar o de fabricantes de armamento.

En 2013 tuvimos en España un caso bastante sonado. La web del fabricante español de equipos de comunicaciones militares Amper fue comprometida a mediados de Septiembre y utilizada para distribuir el malware PlugX (asociado al grupo Emissary Panda) mediante un documento Word malicioso.

Este tipo de ataques son bastante efectivos ya que:
  • La seguridad del sitio infectado queda fuera del perímetro de seguridad de la entidad que es el objetivo final, de forma que las medidas de protección de la misma no lo cubren.
  • Los sitios infectados normalmente tienen un nivel de seguridad inferior al que tendrían los de las organizaciones objetivo, siendo por tanto necesarias técnicas de ataque menos sofisticadas. Por ejemplo comprometer la web de una publicación o de un blog de temática militar se supone más fácil que hacerlo directamente en una red de defensa.
  • Facilita la realización de ataques dirigidos ya que pueden elegirse los sitios a infectar en base al perfil de sus usuarios.
  • Pillan a los usuarios con la guardia baja ya que son sitios que visitan habitualmente y en los que suelen confiar.

Protegerse de este tipo de ataques es complejo. Es necesario que los usuarios tengan sus equipos actualizados y protegidos, que estén concienciados contra este tipo de riesgos y que se realice una monitorización activa de los sitios que suelen visitar nuestros usuarios.