Watering hole attack vs WebSite poisoning

интересното е че тия 2 атаки всъщност представляват едно и също, изпълено с различно намерение.

класическата WebSite Poisoning атака, се прави с намерението, посетителите на даден сайт с добра репутация, да си лепнат някой malware чрез Drive By Download и да се старира с Remote code execution. в Началото флаш, на адобе, сега Java, не бих се изнеадал ако утре Silverlight излезне новата мишена. Тук намерението е всеки който дойде на сайта да получи честитка, без значение кой е и какъв е.

Watering hole атаката, е същото, но изпълнено с различно намерение. Ако примерно искате да проникнете в корпорация Teou Industies, виждате че служителите ходят на сайта на Diabolik Security Corp. тъй като двете компании са партия, Teou Industries е свалила защитните мерки по адрес на Diabolik Security Corp., и сайта на Diabolik Security Corp се изпълнява с всичкото активно съдържание което има на него. Сега актуалният начин да проникнат в Teou Industries е да отровят сайта на Diabolik Security Corp. и да чакат служителите на Teou Industries да отидат на сайта на Diabolik Security Corp., и от там да си лепнат нещо чрез Drive by download и Remote code execution да го стартира, като по този начин заобикалят ефективно всички защити, на Teou Industies, и то да отвори вратите на Teou Industies отвътре. Веднъж влезнали вътре, те просто стартират връзка, със стопанина отвътре, отново заобикаляйки защитите, на Teou Industies.
това си е цяла серия от атаки, Website poisonong, drive by download, remote code execution, firewall leakза изходящата връзка. най-лесният начин за това е malware да използва уязвимост в избрания браузер, която позволява на malware да използва thread на браузера, за да мине покрай защитите, които разрешават браузера, представяйки се за браузера, първоначално malware излиза първи отвътре навън, като така се оставя очаквана връзка, и когато отговорят от домейна на лошковците, отговарят на браузера който ползва thread на браузера и понеже е thread на браузера който е позволен, и е направил той първото повикване отвътре навън, защитата вика на лошковциите добре дошъл, очаквахме те. Така защитата на Teou Industries e ефективно избегната. HACKED!

какво си требе оно си сака, тая атака не може да се изпълни от всеки. обикновено става дума за проучване на компанията с инсайдъри, които изнасят информация за служителите, кои са силни като секюрити да се избягват, кои са слаби, да се нападат, каква ос, браузер, плугин - в случая Java/flash се ползват, и какви уязвимости има в използвания софтуер. в този случай задължително има и privilege escallation exploit който да повдига правята на акаунта, до администратор, и рууткит който да прикрива нещата.