Drive-by download

při vytváření drive-by download musí útočník nejprve vytvořit svůj škodlivý obsah, aby provedl útok. S nárůstem exploitových balíčků, které obsahují zranitelnosti potřebné k provádění útoků na stahování drive-by, byla úroveň dovedností potřebná k provedení tohoto útoku snížena.

dalším krokem je hostit škodlivý obsah, který si útočník přeje distribuovat. Jednou z možností je, aby útočník hostil škodlivý obsah na svém vlastním serveru. Z důvodu obtížnosti nasměrování uživatelů na novou stránku však může být hostována také na kompromitované legitimní webové stránce nebo na legitimní webové stránce, která nevědomky distribuuje obsah útočníků prostřednictvím služby třetí strany (např. reklama). Když je obsah načten klientem, útočník analyzuje otisk prstu klienta, aby přizpůsobil kód tak, aby využil zranitelnosti specifické pro daného klienta.

nakonec útočník využije potřebné chyby zabezpečení k zahájení útoku na stahování drive-by. Stahování Drive-by obvykle používá jednu ze dvou strategií. První strategií je využití volání API pro různé pluginy. Například rozhraní API DownloadAndInstall komponenty Sina ActiveX řádně nekontrolovalo jeho parametry a umožnilo stahování a provádění libovolných souborů z internetu. Druhá strategie zahrnuje zápis shellcode do paměti a následné využití zranitelností ve webovém prohlížeči nebo pluginu k přesměrování řídicího toku programu na kód shellu. Po provedení shellcode může útočník provádět další škodlivé činnosti. To často zahrnuje stahování a instalaci malwaru,ale může to být cokoli, včetně krádeže informací k odeslání zpět útočníkovi.

útočník může také přijmout opatření k zabránění odhalení během útoku. Jednou z metod je spoléhat se na zamlžení škodlivého kódu. To lze provést pomocí iframe. Další metodou je šifrování škodlivého kódu, aby se zabránilo detekci. Obecně útočník zašifruje škodlivý kód do šifrovaného textu, poté zahrnuje metodu dešifrování za šifrovaným textem.