В компьютерной безопасности попутная загрузка — это непреднамеренная загрузка программного обеспечения , обычно вредоносного программного обеспечения . Термин «попутная загрузка» обычно относится к загрузке, которая была разрешена пользователем, не понимавшим, что загружается, например, в случае с троянским вирусом . В других случаях этот термин может просто относиться к загрузке, которая происходит без ведома пользователя. Распространенные типы файлов, распространяемых в ходе атак с попутной загрузкой, включают компьютерные вирусы , шпионское ПО и вредоносное ПО .
Загрузка с диска может произойти при посещении веб-сайта , [1] при открытии вложения к электронному письму или щелчке по ссылке, а также при нажатии на обманчивое всплывающее окно: [2] при нажатии на окно в ошибочном предположении, что Например, подтверждается сообщение об ошибке самой операционной системы компьютера или закрывается, казалось бы, безобидное всплывающее окно с рекламой. В таких случаях «поставщик» может заявить, что пользователь «согласился» на загрузку, хотя на самом деле пользователь не знал о том, что начал загрузку нежелательного или вредоносного программного обеспечения. Аналогичным образом, если человек посещает сайт с вредоносным содержимым, он может стать жертвой атаки с попутной загрузкой. То есть вредоносный контент может использовать уязвимости в браузере или плагинах для запуска вредоносного кода без ведома пользователя. [3]
Попутная установка (или установка ) — аналогичное событие. Это относится к установке , а не к загрузке (хотя иногда эти два термина используются как синонимы).
При создании попутной загрузки злоумышленник должен сначала создать вредоносный контент для проведения атаки. С увеличением количества пакетов эксплойтов, содержащих уязвимости, необходимые для проведения несанкционированных атак с загрузкой диска, уровень навыков, необходимый для выполнения этой атаки, снизился. [3]
Следующим шагом является размещение вредоносного контента, который хочет распространить злоумышленник. Один из вариантов заключается в том, что злоумышленник разместит вредоносный контент на своем собственном сервере . Однако из-за сложности перенаправления пользователей на новую страницу она также может быть размещена на взломанном законном веб-сайте или законном веб-сайте, неосознанно распространяющем контент злоумышленников через стороннюю службу (например, рекламу). Когда контент загружается клиентом, злоумышленник анализирует отпечаток клиента, чтобы адаптировать код для использования уязвимостей, специфичных для этого клиента. [4]
Наконец, злоумышленник использует необходимые уязвимости для запуска атаки с попутной загрузкой. Для попутных загрузок обычно используется одна из двух стратегий. Первая стратегия — использование вызовов API для различных плагинов . Например, API DownloadAndInstall компонента Sina ActiveX не проверял должным образом его параметры и позволял загружать и выполнять произвольные файлы из Интернета. Вторая стратегия предполагает запись шелл-кода в память, а затем использование уязвимостей в веб-браузере или плагине для перенаправления потока управления программой на шелл-код. [4] После выполнения шеллкода злоумышленник может выполнять дальнейшие вредоносные действия. Зачастую это связано с загрузкой и установкой вредоносного ПО , но может быть чем угодно, включая кражу информации для отправки обратно злоумышленнику. [3]
Злоумышленник также может принять меры для предотвращения обнаружения на протяжении всей атаки. Один из методов — полагаться на запутывание вредоносного кода. Это можно сделать с помощью iframe . [3] Другой метод — зашифровать вредоносный код, чтобы предотвратить его обнаружение. Обычно злоумышленник шифрует вредоносный код в зашифрованный текст , а затем включает метод дешифрования после зашифрованного текста. [4]
Обнаружение атак с попутной загрузкой является активной областью исследований. Некоторые методы обнаружения включают обнаружение аномалий , которое отслеживает изменения состояния компьютерной системы пользователя, когда пользователь посещает веб-страницу. Это включает в себя мониторинг компьютерной системы пользователя на предмет аномальных изменений при отображении веб-страницы. Другие методы обнаружения включают обнаружение случаев записи вредоносного кода (шелл-кода) в память с помощью эксплойта злоумышленника. Другой метод обнаружения — создать среду выполнения, позволяющую запускать код JavaScript и отслеживать его поведение во время работы. Другие методы обнаружения включают проверку содержимого HTML-страниц для выявления функций, которые можно использовать для идентификации вредоносных веб-страниц, а также использование характеристик веб-серверов для определения того, является ли страница вредоносной. [3] Некоторые антивирусные инструменты используют статические сигнатуры для сопоставления шаблонов вредоносных сценариев, хотя они не очень эффективны из-за методов запутывания. Обнаружение также возможно с помощью Honeyclients с низким или высоким уровнем взаимодействия . [4]
Загрузки с диска также можно предотвратить с помощью блокировщиков сценариев, таких как NoScript , которые можно легко добавить в такие браузеры, как Firefox. Используя такой блокировщик сценариев, пользователь может отключить все сценарии на данной веб-странице, а затем выборочно повторно включить отдельные сценарии один за другим, чтобы определить, какие из них действительно необходимы для функциональности веб-страницы. Однако некоторые инструменты блокировки скриптов могут иметь непредвиденные последствия, например, нарушение работы частей других веб-сайтов, что может быть своего рода балансирующим действием. [5]
Другая форма предотвращения, известная как «Cujo», интегрирована в веб-прокси, где он проверяет веб-страницы и блокирует доставку вредоносного кода JavaScript. [6]
{{cite book}}
: |journal=
игнорируется ( помощь )