Mimecast Logo
Angebot einholen
    Einblicke in die Cyber-Resilienz
    Alle Themen
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Email & Collaboration Threat Protection

    Was ist ein Watering Hole-Angriff und wie kann man ihn verhindern?

    Wie ein Löwe, der eine Antilope an ihrer Lieblingstränke angreift, lauern Cyberkriminelle auf Ihren Lieblingswebsites und -tools

    by Giulian Garruba

    Wichtige Punkte

    • Da die Opfer von Watering-Hole-Angriffen eine Website häufig nutzen, denken sie selten über deren Sicherheit nach, so dass sie anfällig für Überraschungsangriffe aus verschiedenen Quellen sind.
    • Normalerweise werden Watering Hole-Angriffe in vier Schritten durchgeführt, die darauf abzielen, eine von vielen Arten von Web-Exploits zu überwachen, zu analysieren und auszuführen.
    • Mit der richtigen Ausbildung, Intelligenz und den richtigen Werkzeugen kann die Identifizierung von Angriffen auf Wasserlöcher ganz einfach sein.

    Cyberangriffe haben in den letzten zehn Jahren exponentiell an Raffinesse gewonnen. Viele Unternehmen haben Schwierigkeiten, die Netzwerk- und Datensicherheit aufrechtzuerhalten, da neue, bisher unbekannte Bedrohungen auftreten. Begriffe wie malware, phishing und sogar Denial-of-Service-Angriffe sind den meisten Menschen vertraut. Andere Begriffe, wie z.B. "Wasserloch-Angriffe", sind jedoch möglicherweise völlig neu.

    Im Folgenden untersuchen wir, was Watering-Hole-Angriffe sind, wie sie funktionieren und wie Sie und Ihr Unternehmen das Bewusstsein für diese Bedrohungen schärfen und sich vor ihnen schützen können.

    Wie funktionieren Watering Hole-Angriffe?

    Angriffe auf Wasserlöcher, manchmal auch als Wasserloch-Phishing bezeichnet, sind von der Natur inspiriert, z. B. wenn ein Raubtier seine Beute angreift, während diese an einem Wasserloch anhält, um zu trinken. Stellen Sie sich vor, ein Löwe versteckt sich an einer beliebten Wasserstelle in der Savanne und stürzt sich auf eine ahnungslose Antilope, die sich zum Trinken bückt. Die Antilope ist ein leichtes Ziel, aber die Wasserstelle ist auch ein Ort, an dem sich regelmäßig alle Arten von Tieren versammeln. 

    Der Grund für diese Analogie wird deutlich, wenn wir einen Wasserloch-Angriff im Zusammenhang mit der Cybersicherheit definieren. Bedrohungsakteure versuchen, ihre Ziele dort anzugreifen, wo sie sich versammeln, in der Regel auf Websites, die von der Zielperson häufig genutzt werden. Da die Zielperson diese Website häufig nutzt, denkt sie kaum noch über deren Sicherheit nach und ist somit anfällig für Überraschungsangriffe aus verschiedenen Quellen.

    Das Konzept hinter den Watering-Hole-Angriffen ist klar, aber auch die Methoden, die Cyberangreifer anwenden, um sie zu implementieren und davon zu profitieren, sind wichtig zu verstehen. Normalerweise werden Watering Hole-Angriffe in vier Schritten durchgeführt, die darauf abzielen, eine von vielen Arten von Web-Exploits zu überwachen, zu analysieren und auszuführen. Diese Schritte umfassen in der Regel Folgendes:

    Sammeln von Informationen durch Tracking 

    Watering Hole-Angreifer beginnen mit der Identifizierung eines Ziels und dem Sammeln von Informationen über dessen Web-Browsing-Gewohnheiten. Dabei kann es sich um häufig besuchte öffentliche Websites, unternehmens- oder branchenspezifische Websites oder auch um Tools wie Webmail und Cloud-Speicher handeln. Bedrohungsakteure verwenden eine Reihe von Tools, um diese Informationen zu sammeln, darunter Suchmaschinen, Seiten sozialer Medien, demografische Daten von Websites, Social Engineering, Spyware und Keylogger.

    Analysieren von Websites auf Schwachstellen 

    Sobald geeignete Ziele identifiziert wurden, beginnen die Cyberangreifer damit, die Liste der Websites auf Schwachstellen und Sicherheitslücken auf der Ebene der Domänen und Subdomänen zu analysieren. Außerdem können Website-Klone erstellt werden, um dem Ziel vorzugaukeln, dass es sich um die offizielle Website handelt. Manchmal wird beides zusammen verwendet, indem eine legitime Website kompromittiert wird, um Ziele auf eine bösartige Seite zu führen.

    Exploits vorbereiten und Ziel-Websites infizieren 

    Web-basierte Exploits werden verwendet, um die vom Ziel häufig genutzten Websites zu infizieren. Cyberangreifer konzentrieren sich auf Technologien wie ActiveX, HTML, JavaScript, Bilder und andere Vektoren und versuchen, die vom Ziel verwendeten Browser zu kompromittieren. Ausgefeilte Angriffe können es den Akteuren sogar ermöglichen, Besucher mit bestimmten IP-Adressen zu infizieren.

    Warten Sie darauf, dass das Ziel arglos Malware herunterlädt

    Die Phishing-Infrastruktur für das Wasserloch ist nun vorhanden, und böswillige Akteure müssen nur noch darauf warten, dass die Malware aktiviert wird. Dies geschieht, wenn der Browser des Ziels ahnungslos die vorinstallierte Software von den kompromittierten Websites herunterlädt und automatisch ausführt. Dies funktioniert, da Webbrowser oft wahllos Code auf Computer und Geräte herunterladen. 

    Wie Wasserloch-Angriffe funktionieren.png
    Infografik zur Funktionsweise von Watering Hole-Angriffen

    Wie Einzelpersonen sich vor Watering Hole-Angriffen schützen können

    Die Vorbeugung von Watering Hole-Angriffen für Privatpersonen besteht darin, bei jeder Online-Nutzung gute Cybersicherheitspraktiken anzuwenden. Das bedeutet, dass Sie beim Surfen im Internet darauf achten müssen, wo und was Sie anklicken, und dass eine hochwertige Antiviren-Software installiert und regelmäßig aktualisiert wird. Browserschutz-Apps und VPNs können ebenfalls hilfreich sein, indem sie die Nutzer auf potenziell bösartige Websites oder Downloads aufmerksam machen und diese gegebenenfalls vollständig blockieren. 

    Wie sich Unternehmen vor Watering Hole-Angriffen schützen können

    Unternehmen können durch verschiedene fortschrittliche Cybersicherheitstools und -protokolle einen robusteren Ansatz zur Verhinderung von Wasserlochangriffen wählen. Dazu gehören:

    • Sensibilisierung für Angriffe auf Wasserlöcher und Schulung des Personals mit Hilfe von Programmen zur Sensibilisierung für menschliche Risiken und zur Schulung, damit sie verdächtige Aktivitäten schneller erkennen können.
    • Sicherstellung, dass die gesamte Software, einschließlich der nicht sicherheitsrelevanten Software, auf dem neuesten Stand ist. Watering-Hole-Angriffe suchen aktiv nach Schwachstellen, daher sind regelmäßige Schwachstellenscans und Sicherheits-Patches eine wichtige Verteidigungslinie.
    • Verwendung von sicheren Web-Gateways, um webbasierte Bedrohungen herauszufiltern und Richtlinien zur akzeptablen Nutzung durchzusetzen. Ein sicheres Web-Gateway fungiert als Vermittler zwischen dem Benutzer und der externen Website, blockiert bösartigen Netzwerkverkehr und ermöglicht den Mitarbeitern ein sicheres Surfen.
    • Sicherstellung, dass der gesamte Datenverkehr, der das Netzwerk des Unternehmens durchläuft, als nicht vertrauenswürdig behandelt wird, bis er überprüft wurde.
    • Verwendung von Endpunkt-Erkennungs- und Reaktionstools zum Schutz Ihres Unternehmens vor neuen Malware-Bedrohungen. 
    Wie man Watering Hole Angriffe verhindert.png
    Infografik zur Vorbeugung von Bewässerungsattacken

    Beispiele für Watering Hole-Angriffe

    In der Vergangenheit zielten Watering Hole-Angriffe auf hochrangige Organisationen ab, die angeblich einen erstklassigen Cybersecurity-Schutz implementiert haben. Das bedeutet, dass jede Art von Organisation für diese advanced persistent threat (APTs) anfällig sein kann. Im Folgenden finden Sie einige konkrete Beispiele für aufsehenerregende Angriffe auf Wasserlöcher:

    2012 - Amerikanischer Rat für auswärtige Beziehungen

    Über eine Sicherheitslücke im Internet Explorer infizierten die Cyberangreifer den CFR. Watering Hole Phishing zielt auf Browser ab, die nur bestimmte Sprachen verwenden, die ausgenutzt werden können. 

    2016 - Polnische Finanzbehörde

    Die Forscher entdeckten ein Exploit-Kit, das in den Webserver der polnischen Finanzbehörde eingebettet war und auf 31 Länder, darunter Polen, die Vereinigten Staaten und Mexiko, abzielte. 

    2019 - Weihwasser

    Durch die Einbettung eines bösartigen Adobe Flash-Pop-ups, das einen Download-Angriff auslöste, wurden Dutzende von religiösen, karitativen und ehrenamtlichen Websites infiziert. 

    2020 - SolarWinds

    Das IT-Unternehmen SolarWinds war das Ziel eines weitreichenden Wasserloch-Angriffs, der lange Zeit lief. Nach monatelanger Arbeit der Cyber-Intelligence wurde aufgedeckt, dass staatlich gesponserte Agenten Watering Hole Phishing nutzen, um Cybersicherheitsunternehmen, das Finanzministerium, den Heimatschutz und andere auszuspionieren.

    2021 - Hongkong

    Die Threat Analysis Group von Google stellte zahlreiche Watering-Hole-Angriffe fest, die sich auf Nutzer konzentrierten, die Medien- und pro-demokratische Websites in Hongkong besuchten. Sobald die Malware erfolgreich war, installierte sie eine Hintertür bei Personen, die Apple-Geräte verwendeten.

    Woran man erkennt, ob man Opfer eines Wasserloch-Angriffs geworden ist

    Da Watering-Hole-Angriffe darauf abzielen, uns vorzugaukeln, dass wir eine vertrauenswürdige Website oder eine legitime Quelle besuchen, können sie schwer zu erkennen sein. Wenn Sie den Angriff nicht in Echtzeit an der Quelle erkannt haben, ist der nächste wahrscheinliche Indikator, dass sich Ihre Netzwerke anders verhalten und Daten verschwinden oder nicht mehr zugänglich sind. Aus diesen Gründen ist besondere Wachsamkeit bei Zero-Day-Exploits von entscheidender Bedeutung, da dies die häufigsten Vektoren für Watering Hole Phishing sind.

    Gartner® Magic Quadrant™: Mimecast wird zum Leader ernannt

    Mimecast wird im Gartner® Magic Quadrant 2025™ für E-Mail-Sicherheit erneut für seine umfassende Vision und Umsetzungsfähigkeit ausgezeichnet.
    Holen Sie sich den Bericht

    Die Quintessenz

    Das vielleicht Beunruhigendste an Watering Hole-Angriffen ist, dass sie immer wieder auf Personen und Organisationen abzielen, denen die Menschen vertrauen. Die Identifizierung dieses speziellen Cyberangriffs kann jedoch mit der richtigen Ausbildung, Intelligenz und den richtigen Tools ganz einfach sein. Denken Sie daran, dass bewährte Verfahren für die Cybersicherheit aus einem bestimmten Grund bestehen und unbedingt angewendet werden sollten.

    Watering Hole Attack FAQs

    Können kleine Unternehmen Ziel von Angriffen auf Wasserlöcher sein?

    Ja, kleine Unternehmen sind oft das Ziel von Angriffen, weil sie im Vergleich zu größeren Unternehmen weniger robuste Cybersicherheitsmaßnahmen haben. Angreifer wissen, dass kleine Unternehmen möglicherweise nicht über spezielle IT-Sicherheitsteams oder die Ressourcen verfügen, um Schwachstellen kontinuierlich zu überwachen und zu patchen, so dass sie leichter ausgenutzt werden können. Außerdem arbeiten kleine Unternehmen oft mit größeren Firmen als Lieferanten oder Partner zusammen, was Cyberkriminellen eine potenzielle Hintertür in diese größeren Organisationen bietet. Daher müssen kleine Unternehmen wachsam sein und strenge Cybersicherheitsprotokolle einführen, um sich vor Angriffen durch Wasserlöcher zu schützen.

    Was sind die Merkmale eines Wasserloch-Angriffs?

    Bei Watering Hole-Angriffen kommen oft verschiedene Arten von Malware zum Einsatz, die jeweils einem anderen Zweck in der Angriffskette dienen:

    1. Trojanisches Pferd: Dies ist eine Art von malware, die als legitime Software getarnt ist. Einmal installiert, ermöglicht es Angreifern, sich unbefugten Zugang zum System des Opfers zu verschaffen.
    2. Keylogger: Diese Tools zeichnen die Tastenanschläge des Benutzers auf und ermöglichen es Angreifern, sensible Informationen wie Anmeldeinformationen und persönliche Daten abzufangen.
    3. Ransomware: Einige Watering Hole-Angriffe liefern Ransomware, die die Daten des Opfers verschlüsselt und eine Zahlung für ihre Entschlüsselung verlangt.
    4. Spyware: Diese Art von malware überwacht heimlich die Aktivitäten des Opfers und sammelt Informationen wie Surfgewohnheiten, Passwörter und andere persönliche Daten.
    5. Rootkits: Rootkits werden verwendet, um Root-Zugriff auf das System des Opfers zu erlangen. Dadurch können Angreifer das System aus der Ferne steuern und die Erkennung durch Sicherheitssoftware umgehen.
    6. Hintertüren: Diese ermöglichen es Angreifern, die normalen Authentifizierungsprozesse zu umgehen und so dauerhaften Zugriff auf das System zu erhalten, auch nachdem der erste Angriff beendet ist.

    Was ist der Unterschied zwischen Watering Hole-Angriffen und Spear Phishing?

    Obwohl es sich sowohl bei Watering Hole-Angriffen als auch bei targeted attack um gezielte Angriffe handelt, unterscheiden sie sich erheblich in ihrer Vorgehensweise und Ausführung:

    1. Methode des Angriffs:
      • Watering Hole-Angriff: Hierbei wird eine legitime Website kompromittiert, die das Ziel häufig besucht. Das Opfer ist sich nicht bewusst, dass seine vertrauenswürdige Website mit Malware infiziert worden ist.
      • Spear Phishing: Hierbei wird eine gezielte, oft personalisierte E-Mail an das Opfer gesendet, die es dazu verleitet, auf einen bösartigen Link zu klicken oder einen infizierten Anhang herunterzuladen.
    2. Ort der Einreise:
      • Watering Hole-Angriff: Hierbei wird eine legitime Website kompromittiert, die das Ziel häufig besucht. Das Opfer ist sich nicht bewusst, dass seine vertrauenswürdige Website mit Malware infiziert worden ist.
      • Spear Phishing: Hierbei wird eine gezielte, oft personalisierte E-Mail an das Opfer gesendet, die es dazu verleitet, auf einen bösartigen Link zu klicken oder einen infizierten Anhang herunterzuladen.
    3. Ebene der Benutzerinteraktion:
      • Watering Hole-Angriff: Das Opfer muss außer dem Besuch der kompromittierten Website keine besondere Aktion durchführen. Malware kann automatisch heruntergeladen und ausgeführt werden.
      • Spear Phishing: Das Opfer muss aktiv mit der Phishing-E-Mail interagieren, indem es beispielsweise auf einen Link klickt oder einen Anhang herunterlädt, um den Angriff zu starten.
    4. Komplexität:
      • Watering Hole-Angriff: Dieser Angriff ist oft komplexer und erfordert, dass der Angreifer eine fremde Website identifiziert und kompromittiert.
      • Speer-Phishing: Dies kann einfacher sein und erfordert nur eine überzeugende E-Mail und eine bösartige Nutzlast.

     

     

    **Dieser Blog wurde ursprünglich am 12. März 2022 veröffentlicht.

    Lösungen zum Schutz vor Bedrohungen
    59BLOG_1.jpg
    Nächster Punkt
    Email & Collaboration Threat Protection |
    Was ist Cloud SIEM?

    Verwandte Artikel

    Email & Collaboration Threat Protection
    Untersuchung von Fehlverhalten in Slack und Microsoft Teams: Dos, Don'ts und Überlegungen zum Datenschutz
    Email & Collaboration Threat Protection
    Australien im Visier: Das alarmierende Ausmaß von Betrügereien mit Regierungsidentitäten
    Email & Collaboration Threat Protection
    Warum Mimecast den Kampf gegen E-Mail-Betrug im Jahr 2024 anführt

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang