“水坑攻擊”，黑客攻擊方式之一，顧名思義，是在受害者必經之路設置了一個“水坑（陷阱）”。最常見的做法是，黑客分析攻擊目標的上網活動規律，尋找攻擊目標經常訪問的網站的弱點，先將此網站“攻破”并植入攻擊代碼，一旦攻擊目標訪問該網站就會“中招”。

　　了解什么是稱為水坑攻擊的供應鏈攻擊、它們的工作原理以及此類攻擊的真實示例。

　　水坑攻擊通過識別目標組織甚至整個部門（例如國防、政府或醫療保健）中的用戶經常訪問的網站來發揮作用。然后，該網站被攻陷以傳播惡意軟件。

　　攻擊者識別主要目標網絡安全中的弱點，然后操縱水坑站點來傳播利用這些弱點的惡意軟件。

　　惡意軟件可能會在目標不知情的情況下傳送和安裝（稱為“驅動器”攻擊），鑒于目標可能對水坑站點具有信任，也可以是用戶有意下載的文件意識到它真正包含什么。通常，惡意軟件將是遠程訪問木馬 （RAT），使攻擊者能夠遠程訪問目標系統。

　　攻擊者越來越多地利用“水坑”站點對各個行業的大量目標進行間諜攻擊。VOHO 活動就是一個很好的例子。

　　水坑攻擊屬于APT攻擊的一種，與釣魚攻擊相比，黑客無需耗費精力制作釣魚網站，而是利用合法網站的弱點，隱蔽性比較強。在人們安全意識不斷加強的今天，黑客處心積慮地制作釣魚網站卻被有心人輕易識破，而水坑攻擊則利用了被攻擊者對網站的信任。水坑攻擊利用網站的弱點在其中植入攻擊代碼，攻擊代碼利用瀏覽器的缺陷，被攻擊者訪問網站時終端會被植入惡意程序或者直接被盜取個人重要信息。

　　水坑攻擊相對于通過社會工程方式引誘目標用戶訪問惡意網站更具欺騙性，效率也更高。水坑方法主要被用于有針對性的攻擊，而Adobe Reader、Java運行時環境（JRE）、Flash和IE中的零漏洞被用于安裝惡意軟件。

　　安全示例：

　　2017 ExPetr攻擊

　　2017年6月，相信發源于烏克蘭的NotPetya（也稱為ExPetr）惡意軟件泄露了烏克蘭政府網站。該攻擊媒介是從網站上下載的用戶。惡意軟件擦除受害者硬盤的內容。

　　2017 Ccleaner攻擊

　　從2017年8月到9月，由供應商的下載服務器分發的Ccleaner的安裝二進制文件包含惡意軟件。Ccleaner是一種流行的工具，用于清除Windows計算機上可能存在的不需要的文件，這些文件被安全用戶廣泛使用。分發的安裝程序二進制文件是用開發人員的證書簽名的，因此攻擊者可能會破壞開發或構建環境，并用它來插入惡意軟件。