Drive-by-Download

Beim Erstellen eines Drive-By-Downloads muss ein Angreifer zuerst seinen schädlichen Inhalt erstellen, um den Angriff auszuführen. Mit der Zunahme von Exploit-Paketen, die die Schwachstellen enthalten, die für die Durchführung von Drive-by-Download-Angriffen erforderlich sind, wurde das für die Durchführung dieses Angriffs erforderliche Qualifikationsniveau verringert.

Der nächste Schritt besteht darin, den schädlichen Inhalt zu hosten, den der Angreifer verbreiten möchte. Eine Möglichkeit besteht darin, dass der Angreifer den schädlichen Inhalt auf seinem eigenen Server hostet. Aufgrund der Schwierigkeit, Benutzer auf eine neue Seite umzuleiten, kann diese jedoch auch auf einer kompromittierten legitimen Website gehostet werden oder auf einer legitimen Website, die den Inhalt des Angreifers unwissentlich über einen Drittanbieterdienst verteilt (z. B. eine Werbung). Wenn der Inhalt vom Client geladen wird, analysiert der Angreifer den Fingerabdruck des Clients, um den Code so anzupassen, dass Schwachstellen ausgenutzt werden, die für diesen Client spezifisch sind.

Schließlich nutzt der Angreifer die erforderlichen Sicherheitsanfälligkeiten aus, um den Drive-by-Download-Angriff zu starten. Drive-by-Downloads verwenden normalerweise eine von zwei Strategien. Die erste Strategie besteht darin, API-Aufrufe für verschiedene Plugins zu nutzen. Beispielsweise hat die DownloadAndInstall-API der Sina ActiveX-Komponente ihre Parameter nicht ordnungsgemäß überprüft und das Herunterladen und Ausführen beliebiger Dateien aus dem Internet ermöglicht. Die zweite Strategie besteht darin, Shellcode in den Speicher zu schreiben und dann Schwachstellen im Webbrowser oder Plugin auszunutzen, um den Kontrollfluss des Programms auf den Shell-Code umzuleiten. Nachdem der Shellcode ausgeführt wurde, kann der Angreifer weitere schädliche Aktivitäten ausführen. Dies beinhaltet oft das Herunterladen und Installieren von Malware, kann aber alles sein, einschließlich des Diebstahls von Informationen, die an den Angreifer zurückgesendet werden sollen.

Der Angreifer kann auch Maßnahmen ergreifen, um die Erkennung während des gesamten Angriffs zu verhindern. Eine Methode besteht darin, sich auf die Verschleierung des Schadcodes zu verlassen. Dies kann durch die Verwendung von IFrames erfolgen. Eine andere Methode besteht darin, den Schadcode zu verschlüsseln, um eine Erkennung zu verhindern. Im Allgemeinen verschlüsselt der Angreifer den Schadcode in einen Chiffretext und schließt dann die Entschlüsselungsmethode nach dem Chiffretext ein.