Descarga drive-by

Al crear una descarga drive-by, un atacante primero debe crear su contenido malicioso para realizar el ataque. Con el aumento de los paquetes de exploits que contienen las vulnerabilidades necesarias para llevar a cabo ataques de descarga desde dispositivos móviles, se ha reducido el nivel de habilidad necesario para realizar este ataque.

El siguiente paso es alojar el contenido malicioso que el atacante desea distribuir. Una opción es que el atacante aloje el contenido malicioso en su propio servidor. Sin embargo, debido a la dificultad de dirigir a los usuarios a una nueva página, también puede estar alojada en un sitio web legítimo comprometido, o en un sitio web legítimo que distribuye sin saberlo el contenido de los atacantes a través de un servicio de terceros (por ejemplo, un anuncio). Cuando el cliente carga el contenido, el atacante analizará la huella digital del cliente para adaptar el código para explotar vulnerabilidades específicas de ese cliente.

Finalmente, el atacante explota las vulnerabilidades necesarias para lanzar el ataque de descarga drive-by. Las descargas automáticas suelen utilizar una de dos estrategias. La primera estrategia es explotar las llamadas de API para varios complementos. Por ejemplo, la API DownloadAndInstall del componente Sina ActiveX no comprobó correctamente sus parámetros y permitió la descarga y ejecución de archivos arbitrarios desde Internet. La segunda estrategia consiste en escribir código de shell en la memoria, y luego explotar las vulnerabilidades en el navegador web o el complemento para desviar el flujo de control del programa al código de shell. Después de ejecutar el código shell, el atacante puede realizar actividades maliciosas adicionales. Esto a menudo implica descargar e instalar malware, pero puede ser cualquier cosa, incluido el robo de información para enviarla al atacante.

El atacante también puede tomar medidas para evitar la detección durante todo el ataque. Un método es confiar en la ofuscación del código malicioso. Esto se puede hacer mediante el uso de IFrames. Otro método es cifrar el código malicioso para evitar la detección. Generalmente, el atacante cifra el código malicioso en un texto cifrado, y luego incluye el método de descifrado después del texto cifrado.