Загрузка для проезда

Эксплуатация компьютерной безопасности

В компьютерной безопасности попутная загрузка — это непреднамеренная загрузка программного обеспечения , обычно вредоносного программного обеспечения . Термин «попутная загрузка» обычно относится к загрузке, которая была разрешена пользователем, не понимавшим, что загружается, например, в случае с троянским вирусом . В других случаях этот термин может просто относиться к загрузке, которая происходит без ведома пользователя. Распространенные типы файлов, распространяемых в ходе атак с попутной загрузкой, включают компьютерные вирусы , шпионское ПО и вредоносное ПО .

Загрузка с диска может произойти при посещении веб-сайта , ^[1] при открытии вложения к электронному письму или щелчке по ссылке, а также при нажатии на обманчивое всплывающее окно: ^[2] при нажатии на окно в ошибочном предположении, что Например, подтверждается сообщение об ошибке самой операционной системы компьютера или закрывается, казалось бы, безобидное всплывающее окно с рекламой. В таких случаях «поставщик» может заявить, что пользователь «согласился» на загрузку, хотя на самом деле пользователь не знал о том, что начал загрузку нежелательного или вредоносного программного обеспечения. Аналогичным образом, если человек посещает сайт с вредоносным содержимым, он может стать жертвой атаки с попутной загрузкой. То есть вредоносный контент может использовать уязвимости в браузере или плагинах для запуска вредоносного кода без ведома пользователя. ^[3]

Попутная установка (или установка ) — аналогичное событие. Это относится к установке , а не к загрузке (хотя иногда эти два термина используются как синонимы).

Процесс

При создании попутной загрузки злоумышленник должен сначала создать вредоносный контент для проведения атаки. С увеличением количества пакетов эксплойтов, содержащих уязвимости, необходимые для проведения несанкционированных атак с загрузкой диска, уровень навыков, необходимый для выполнения этой атаки, снизился. ^[3]

Следующим шагом является размещение вредоносного контента, который хочет распространить злоумышленник. Один из вариантов заключается в том, что злоумышленник разместит вредоносный контент на своем собственном сервере . Однако из-за сложности перенаправления пользователей на новую страницу она также может быть размещена на взломанном законном веб-сайте или законном веб-сайте, неосознанно распространяющем контент злоумышленников через стороннюю службу (например, рекламу). Когда контент загружается клиентом, злоумышленник анализирует отпечаток клиента, чтобы адаптировать код для использования уязвимостей, специфичных для этого клиента. ^[4]

Наконец, злоумышленник использует необходимые уязвимости для запуска атаки с попутной загрузкой. Для попутных загрузок обычно используется одна из двух стратегий. Первая стратегия — использование вызовов API для различных плагинов . Например, API DownloadAndInstall компонента Sina ActiveX не проверял должным образом его параметры и позволял загружать и выполнять произвольные файлы из Интернета. Вторая стратегия предполагает запись шелл-кода в память, а затем использование уязвимостей в веб-браузере или плагине для перенаправления потока управления программой на шелл-код. ^[4] После выполнения шеллкода злоумышленник может выполнять дальнейшие вредоносные действия. Зачастую это связано с загрузкой и установкой вредоносного ПО , но может быть чем угодно, включая кражу информации для отправки обратно злоумышленнику. ^[3]

Злоумышленник также может принять меры для предотвращения обнаружения на протяжении всей атаки. Один из методов — полагаться на запутывание вредоносного кода. Это можно сделать с помощью iframe . ^[3] Другой метод — зашифровать вредоносный код, чтобы предотвратить его обнаружение. Обычно злоумышленник шифрует вредоносный код в зашифрованный текст , а затем включает метод дешифрования после зашифрованного текста. ^[4]

Обнаружение и предотвращение

Обнаружение атак с попутной загрузкой является активной областью исследований. Некоторые методы обнаружения включают обнаружение аномалий , которое отслеживает изменения состояния компьютерной системы пользователя, когда пользователь посещает веб-страницу. Это включает в себя мониторинг компьютерной системы пользователя на предмет аномальных изменений при отображении веб-страницы. Другие методы обнаружения включают обнаружение случаев записи вредоносного кода (шелл-кода) в память с помощью эксплойта злоумышленника. Другой метод обнаружения — создать среду выполнения, позволяющую запускать код JavaScript и отслеживать его поведение во время работы. Другие методы обнаружения включают проверку содержимого HTML-страниц для выявления функций, которые можно использовать для идентификации вредоносных веб-страниц, а также использование характеристик веб-серверов для определения того, является ли страница вредоносной. ^[3] Некоторые антивирусные инструменты используют статические сигнатуры для сопоставления шаблонов вредоносных сценариев, хотя они не очень эффективны из-за методов запутывания. Обнаружение также возможно с помощью Honeyclients с низким или высоким уровнем взаимодействия . ^[4]

Загрузки с диска также можно предотвратить с помощью блокировщиков сценариев, таких как NoScript , которые можно легко добавить в такие браузеры, как Firefox. Используя такой блокировщик сценариев, пользователь может отключить все сценарии на данной веб-странице, а затем выборочно повторно включить отдельные сценарии один за другим, чтобы определить, какие из них действительно необходимы для функциональности веб-страницы. Однако некоторые инструменты блокировки скриптов могут иметь непредвиденные последствия, например, нарушение работы частей других веб-сайтов, что может быть своего рода балансирующим действием. ^[5]

Другая форма предотвращения, известная как «Cujo», интегрирована в веб-прокси, где он проверяет веб-страницы и блокирует доставку вредоносного кода JavaScript. ^[6]

Смотрите также

• Вредоносная реклама
• Фишинг
• ЛЕЗВИЕ
• Мак Флешбэк
• Уязвимость метафайла Windows
• Дроппер (вредоносное ПО)

Рекомендации

1. Суд, Адитья К.; Зеадалли, Шерали (1 сентября 2016 г.). «Атаки с попутной загрузкой: сравнительное исследование». ИТ-специалист . 18 (5): 18–25. дои : 10.1109/MITP.2016.85. ISSN  1520-9202. S2CID  27808214.
2. Олсен, Стефани (8 апреля 2002 г.). «Пользователи Интернета готовятся к загрузкам во всплывающих окнах» . Новости CNET . Проверено 28 октября 2010 г.
3. Ле, Ван Лам; Уэлч, Ян; Гао, Сяоин; Комисарчук, Петр (1 января 2013 г.). Анатомия атаки загрузки с проезда. АИСК '13. Дарлингхерст, Австралия, Австралия: Австралийское компьютерное общество, Inc., стр. 49–58. ISBN 9781921770234. {{cite book}}: |journal=игнорируется ( помощь )
4. Эгеле, Мануэль; Кирда, Энгин; Крюгель, Кристофер (1 января 2009 г.). «Смягчение атак с попутной загрузкой: проблемы и открытые проблемы». INetSec 2009 – Проблемы открытых исследований в области сетевой безопасности . ИФИП: Достижения в области информационных и коммуникационных технологий. Том. 309. Шпрингер Берлин Гейдельберг. стр. 52–62. дои : 10.1007/978-3-642-05437-2_5. ISBN 978-3-642-05436-5.
5. Филлипс, Гэвин (14 января 2021 г.). «Что такое атака вредоносного ПО с попутной загрузкой?» . Проверено 4 января 2022 г.
6. Рик, Конрад; Крюгер, Таммо; Девальд, Андреас (6 декабря 2010 г.). «Куджо: эффективное обнаружение и предотвращение атак с загрузкой диска». Материалы 26-й ежегодной конференции по приложениям компьютерной безопасности . Нью-Йорк, штат Нью-Йорк, США: ACM. стр. 31–39. дои : 10.1145/1920261.1920267. ISBN 9781450301336. S2CID  8512207.