Drive-by-overførsel

når du opretter en drive-by-overførsel, skal en angriber først oprette deres ondsindede indhold for at udføre angrebet. Med stigningen i udnyttelsespakker, der indeholder de sårbarheder, der er nødvendige for at udføre drive-by-angreb, er det færdighedsniveau, der er nødvendigt for at udføre dette angreb, reduceret.

det næste trin er at være vært for det ondsindede indhold, som angriberen ønsker at distribuere. En mulighed er, at angriberen er vært for det ondsindede indhold på deres egen server. Men på grund af vanskeligheden ved at lede brugere til en ny side, kan det også være hostet på en kompromitteret legitim hjemmeside, eller en legitim hjemmeside ubevidst distribuere angriberen indhold gennem en tredjepart tjeneste (f.eks reklame). Når indholdet indlæses af klienten, analyserer angriberen klientens fingeraftryk for at skræddersy koden til at udnytte sårbarheder, der er specifikke for den pågældende klient.

endelig udnytter angriberen de nødvendige sårbarheder for at starte drive-by-overførselsangrebet. Drive-by-overførsler bruger normalt en af to strategier. Den første strategi er at udnytte API-opkald til forskellige plugins. For eksempel kontrollerede API ‘ en for Sina Activeks-komponenten ikke korrekt dens parametre og tillod overførsel og udførelse af vilkårlige filer fra internettet. Den anden strategi involverer at skrive shellcode til hukommelsen og derefter udnytte sårbarheder i internetsøgeren eller plugin for at omdirigere programmets kontrolstrøm til shell-koden. Når shellcode er udført, kan angriberen udføre yderligere ondsindede aktiviteter. Dette indebærer ofte at hente og installere skadelige programmer, men kan være hvad som helst, herunder at stjæle oplysninger, der skal sendes tilbage til angriberen.

angriberen kan også træffe foranstaltninger for at forhindre afsløring under hele angrebet. En metode er at stole på tilsløring af den ondsindede kode. Dette kan gøres ved brug af IFrames. En anden metode er at kryptere den ondsindede kode for at forhindre detektion. Generelt krypterer angriberen den ondsindede kode til en krypteringstekst og inkluderer derefter dekrypteringsmetoden efter krypteringsteksten.