Загрузка Drive-by

Эксплуатация компьютерной безопасности

В компьютерной безопасности drive -by download — это непреднамеренная загрузка программного обеспечения , как правило, вредоносного программного обеспечения . Термин «drive-by download» обычно относится к загрузке, которая была разрешена пользователем без понимания того, что загружается, например, в случае троянского коня . В других случаях термин может просто относиться к загрузке, которая происходит без ведома пользователя. Распространенные типы файлов, распространяемых при атаках drive-by download, включают компьютерные вирусы , шпионское ПО или преступное ПО .

Drive-by-загрузки могут происходить при посещении веб-сайта , ^[1] открытии вложения электронной почты или щелчке по ссылке, или щелчке по обманчивому всплывающему окну: ^[2] щелчком по окну в ошибочном убеждении, что, например, подтверждается отчет об ошибке от самой операционной системы компьютера или закрывается, казалось бы, безобидное рекламное всплывающее окно. В таких случаях «поставщик» может утверждать, что пользователь «согласился» на загрузку, хотя на самом деле пользователь не знал о начале загрузки нежелательного или вредоносного программного обеспечения. Аналогично, если человек посещает сайт с вредоносным контентом, он может стать жертвой атаки drive-by-загрузки. То есть вредоносный контент может использовать уязвимости в браузере или плагинах для запуска вредоносного кода без ведома пользователя. ^[3]

Drive -by install (или installation ) — похожее событие. Оно относится к установке, а не к загрузке (хотя иногда эти два термина используются взаимозаменяемо).

Процесс

При создании drive-by-загрузки злоумышленник должен сначала создать свой вредоносный контент для выполнения атаки. С ростом числа эксплойт-паков, содержащих уязвимости, необходимые для выполнения несанкционированных drive-by-загрузок, уровень навыков, необходимый для выполнения этой атаки, снизился. ^[3]

Следующий шаг — размещение вредоносного контента, который злоумышленник хочет распространить. Один из вариантов заключается в размещении злоумышленником вредоносного контента на своем собственном сервере . Однако из-за сложности направления пользователей на новую страницу он также может быть размещен на скомпрометированном законном веб-сайте или законном веб-сайте, неосознанно распространяющем контент злоумышленников через сторонний сервис (например, рекламу). Когда контент загружается клиентом, злоумышленник анализирует отпечаток клиента, чтобы адаптировать код для эксплуатации уязвимостей, специфичных для этого клиента. ^[4]

Наконец, злоумышленник использует необходимые уязвимости для запуска атаки drive-by download. Drive-by downloads обычно используют одну из двух стратегий. Первая стратегия заключается в использовании вызовов API для различных плагинов . Например, DownloadAndInstall API компонента Sina ActiveX не проверил должным образом свои параметры и разрешил загрузку и выполнение произвольных файлов из Интернета. Вторая стратегия включает запись шелл-кода в память, а затем использование уязвимостей в веб-браузере или плагине для перенаправления потока управления программы на шелл-код. ^[4] После выполнения шелл-кода злоумышленник может выполнять дальнейшие вредоносные действия. Это часто включает загрузку и установку вредоносного ПО , но может быть чем угодно, включая кражу информации для отправки обратно злоумышленнику. ^[3]

Атакующий также может принять меры для предотвращения обнаружения во время атаки. Один из методов — положиться на обфускацию вредоносного кода. Это можно сделать с помощью iframes . ^[3] Другой метод — зашифровать вредоносный код, чтобы предотвратить обнаружение. Обычно атакующий шифрует вредоносный код в зашифрованный текст , а затем включает метод расшифровки после зашифрованного текста. ^[4]

Обнаружение и предотвращение

Обнаружение атак drive-by download является активной областью исследований. Некоторые методы обнаружения включают обнаружение аномалий , которое отслеживает изменения состояния на компьютерной системе пользователя, когда пользователь посещает веб-страницу. Это включает мониторинг компьютерной системы пользователя на предмет аномальных изменений при отображении веб-страницы. Другие методы обнаружения включают обнаружение записи вредоносного кода (шелл-кода) в память эксплойтом злоумышленника. Другой метод обнаружения заключается в создании сред выполнения, которые позволяют запускать код JavaScript и отслеживать его поведение во время его работы. Другие методы обнаружения включают проверку содержимого HTML-страниц для выявления функций, которые могут быть использованы для идентификации вредоносных веб-страниц, и использование характеристик веб-серверов для определения того, является ли страница вредоносной. ^[3] Некоторые антивирусные инструменты используют статические сигнатуры для сопоставления шаблонов вредоносных скриптов, хотя они не очень эффективны из-за методов обфускации. Обнаружение также возможно с помощью honeyclients с низким или высоким уровнем взаимодействия . ^[4]

Drive-by загрузки также можно предотвратить с помощью блокировщиков скриптов, таких как NoScript , которые можно легко добавить в браузеры, такие как Firefox. Используя такой блокировщик скриптов, пользователь может отключить все скрипты на данной веб-странице, а затем выборочно повторно включать отдельные скрипты по одному, чтобы определить, какие из них действительно необходимы для функциональности веб-страницы. Однако некоторые инструменты блокировки скриптов могут иметь непреднамеренные последствия, такие как поломка частей других веб-сайтов, что может быть своего рода балансировкой. ^[5]

Другая форма предотвращения, известная как «Cujo», интегрирована в веб-прокси, где она проверяет веб-страницы и блокирует доставку вредоносного кода JavaScript. ^[6]

Смотрите также

• Вредоносная реклама
• Фишинг
• ЛЕЗВИЕ
• Мак Флэшбэк
• Уязвимость метафайла Windows
• Дроппер (вредоносное ПО)

Ссылки

1. Суд, Адитья К.; Зеадалли, Шерали (1 сентября 2016 г.). «Атаки с использованием Drive-By Download: Сравнительное исследование». IT Professional . 18 (5): 18–25. doi :10.1109/MITP.2016.85. ISSN  1520-9202. S2CID  27808214.
2. Олсен, Стефани (8 апреля 2002 г.). «Веб-серферы готовятся к всплывающим загрузкам». CNET News . Получено 28 октября 2010 г.
3. Le, Van Lam; Welch, Ian; Gao, Xiaoying; Komisarczuk, Peter (1 января 2013 г.). Анатомия атаки Drive-by Download. AISC '13. Дарлингхерст, Австралия, Австралия: Australian Computer Society, Inc. стр. 49–58. ISBN 9781921770234. {{cite book}}: |journal=проигнорировано ( помощь )
4. Эгеле, Мануэль; Кирда, Энгин; Кругель, Кристофер (1 января 2009 г.). «Смягчение атак Drive-By Download: вызовы и открытые проблемы». INetSec 2009 – Открытые исследовательские проблемы в области сетевой безопасности . Достижения IFIP в области информационных и коммуникационных технологий. Том 309. Springer Berlin Heidelberg. стр. 52–62. doi :10.1007/978-3-642-05437-2_5. ISBN 978-3-642-05436-5.
5. Филлипс, Гэвин (14 января 2021 г.). «Что такое вредоносная атака Drive-by Download?» . Получено 4 января 2022 г.
6. Рик, Конрад; Крюгер, Таммо; Девальд, Андреас (6 декабря 2010 г.). «Cujo: Эффективное обнаружение и предотвращение атак drive-by-download». Труды 26-й ежегодной конференции Computer Security Applications Conference . Нью-Йорк, штат Нью-Йорк, США: ACM. стр. 31–39. doi :10.1145/1920261.1920267. ISBN 9781450301336. S2CID  8512207.