Watering-Holes

Aus IT-Forensik Wiki

Dabei handelt es sich um Webseiten, die häufig von der Zielperson oder Zielorganisationen besucht werden. Die Metapher steht für die Wasserlöcher in Afrika, die viele verschiedene Tiere anziehen und daher für Raubtiere ein hervorragendes Beutegebiet sind. Ganz ähnlich kreisen auch Täter um solche Watering-Holes und versuchen darauf Schadcode zu platzieren. Dieser besteht aus einem Exploit, der Sicherheitslücken im Browser oder seinen Erweiterungen ausnutzt. Die Hoffnung des Angreifers oder der Angreifer ist, dass sie Zielperson oder ein Mitarbeiter der Zielorganisation die entsprechende Webseite besucht und der Exploit dann ein Schadprogramm auf dessen Rechner installiert. Zu Beginn wird von dem Angreifer oder den Angreifern zunächst untersucht, welche Personen auf die Inhalte der Webseite zugreifen. Aus diesem Grund wird anfangs kein Schadcode installiert, sondern zunächst recht umfangreiche Datensammelskripte. Anhand der IP-Adresse des Benutzers, seiner Browser-Einstellungen und installierten Software können eindeutige Profile angelegt werden. Die IP-Adressen werden untersucht und geprüft, ob und für welche Organisationen die Adressen registriert sind. Die interessanten Adressbereiche werden dann auf einer Liste eingetragen und auf der Watering- Hole hinterlegt. Wenn nun erneut die Zielperson oder Besucher von den zugehörigen Organisationen auf die Webseite zugreifen, wird nur an diese der Schadcode ausgeliefert. Damit verhindert der Angreifer, dass der Schadcode großflächig verbreitet wird und erschweren die Ermittlern die Entdeckung.