Watering Hole Attack
Angriffsmethode bei der Kriminelle Webseiten kompromittieren, die das Zielpublikum regelmäßig besucht. Statt direkten Angriff auf das Ziel zu versuchen, wird der 'Trinkplatz' (Watering Hole) vergiftet - analog zum Raubtier das an der Wasserstelle wartet.
Ein Watering Hole Attack ist ein gezielter Angriff bei dem Kriminelle Webseiten kompromittieren, die die Zielpersonen regelmäßig besuchen. Der Name kommt von der Jagdstrategie: Statt Beute zu jagen, wartet ein Raubtier an der Wasserstelle. Angreifer wissen dass bestimmte Gruppen bestimmte Webseiten besuchen - und vergiften diese Seiten mit Exploits.
Warum Watering Holes funktionieren
Direkter Angriff scheitert oft: Spear-Phishing wird erkannt, VPN ist abgesichert, MFA verhindert Credential-Stuffing.
Watering Hole umgeht das: Die Zielperson besucht eine Webseite der sie vertraut - Branchenverband, Fachmagazin, Zulieferer-Portal, behördliche Webseite. Diese Vertrauen führt dazu, dass Sicherheitskontrollen lockerer sind.
Ablauf eines Watering Hole Angriffs
- Reconnaissance: APT-Gruppe identifiziert Ziel (z.B. Rüstungsunternehmen) - OSINT: welche Branchenwebseiten besuchen Mitarbeiter? Kandidaten: Verband der Verteidigungsindustrie, Fachmagazin, Zulieferer
- Kompromittierung der Webseite: Angreifer findet Schwachstelle in Webserver/CMS (oft WordPress-Plugin CVE), fügt schadhaften JavaScript-Code ein, Code lädt Browser-Exploit oder führt Drive-by-Download aus
- Targeting: Code ist oft selektiv - nur Besucher aus bestimmten IP-Ranges (z.B. nur wenn IP zu Rüstungsunternehmen gehört); normale Nutzer sehen nichts Ungewöhnliches
- Exploitation: Mitarbeiter des Zielunternehmens besucht die Webseite, Browser-Exploit nutzt ungepatchte Schwachstelle aus, Malware wird ohne Nutzer-Interaktion installiert
- Post-Exploitation: C2-Verbindung aufgebaut, Lateral Movement im Unternehmensnetz
Bekannte Watering Hole Angriffe
Volksrepublik China / APT41 (2019): Mindestens 13 iOS-Zero-Days in Webseiten eingebettet, die Uiguren-Gemeinschaft besucht. Besucher wurden automatisch mit iPhone-Malware infiziert.
Operation WildPressure (Kaspersky, 2020): Angriff auf Energie-Sektor im Nahen Osten über kompromittierte Branchen-Webseiten.
Polish Government (2017): Polnische Finanzaufsichtsbehörde (KNF) Website kompromittiert - Besucher aus Banken wurden mit Malware infiziert.
Erkennungsherausforderungen
Watering Holes sind schwer zu erkennen weil:
- Die infizierte Webseite ist legitim und wird regelmäßig besucht
- Der Exploit läuft ohne User-Interaktion (kein Klick nötig)
- Selektives Targeting bedeutet: Nur wenige Opfer - kaum Reporting
- Exploit ist oft Zero-Day - kein Signatur für Antivirus
Schutzmaßnahmen
Browser-Sicherheit:
- Browser immer aktuell halten (automatische Updates)
- Browser-Erweiterungen minimieren
- JavaScript über NoScript/uBlock deaktivieren (auf sensitiven Systemen)
Netzwerk:
- Proxy mit Content-Inspection (TLS-Decryption, URL-Filtering)
- DNS-Filterung: Bekannte Malware-Domains blockieren
- Web-Isolation: Browser läuft in Cloud-Sandbox (Browser Isolation Technology)
Endpoint:
- EDR erkennt auch Zero-Day-Exploits über Verhaltensanalyse
- Application Sandboxing (Browser im Sandbox-Modus)
- Regelmäßige Patches - Angreifer nutzen oft bekannte Schwachstellen
Threat Intelligence:
- Monitoring von kompromittierten Webseiten durch TI-Feeds
- ISAC-Mitgliedschaft (branchenspezifische Threat Intelligence)
Watering Holes zeigen: Selbst disziplinierte Nutzer die keine verdächtigen E-Mails öffnen sind gefährdet - wenn vertrauenswürdige Ressourcen kompromittiert werden.
