Drive-by download

luodessaan drive-by-latausta hyökkääjän on ensin luotava haitallinen sisältönsä suorittaakseen hyökkäyksen. Yleistyessä exploit pakkauksissa, jotka sisältävät haavoittuvuuksia tarvitaan suorittaa drive-by download hyökkäykset, taitotaso tarvitaan suorittaa tämän hyökkäyksen on vähentynyt.

seuraava askel on hostata haitallista sisältöä, jota hyökkääjä haluaa levittää. Yksi vaihtoehto on, että hyökkääjä isännöi haitallista sisältöä omalla palvelimellaan. Koska käyttäjiä on kuitenkin vaikea ohjata uudelle sivulle, se voi olla myös hostattu vaarantuneella laillisella verkkosivustolla tai laillisella verkkosivustolla, joka tietämättään jakaa hyökkääjien sisältöä kolmannen osapuolen palvelun kautta (esim.mainos). Kun asiakas lataa sisällön, hyökkääjä analysoi asiakkaan sormenjäljen räätälöidäkseen koodin hyödyntämään kyseiselle asiakkaalle ominaisia haavoittuvuuksia.

lopulta hyökkääjä hyödyntää tarvittavat haavoittuvuudet käynnistääkseen drive-by-lataushyökkäyksen. Drive-by-lataukset käyttävät yleensä jompaakumpaa kahdesta strategiasta. Ensimmäinen strategia on hyödyntää API vaatii erilaisia plugins. Esimerkiksi Sina ActiveX-komponentin DownloadAndInstall API ei tarkistanut parametrejaan kunnolla ja mahdollisti mielivaltaisten tiedostojen lataamisen ja suorittamisen internetistä. Toiseen strategiaan kuuluu shellcode-koodin kirjoittaminen muistiin ja sen jälkeen verkkoselaimen tai liitännäisen haavoittuvuuksien hyödyntäminen ohjelman ohjausvirran ohjaamiseksi komentotulkin koodiin. Kun shellcode on suoritettu, hyökkääjä voi tehdä lisää haitallisia toimintoja. Tämä tarkoittaa usein haittaohjelmien lataamista ja asentamista, mutta voi olla mitä tahansa, kuten tietojen varastamista, joka lähetetään takaisin hyökkääjälle.

hyökkääjä voi myös ryhtyä toimenpiteisiin estääkseen paljastumisen koko hyökkäyksen ajan. Yksi tapa on luottaa haitallisen koodin epäselvyyteen. Tämä voidaan tehdä käyttämällä Iframeja. Toinen tapa on salata haitallinen koodi havaitsemisen estämiseksi. Yleensä hyökkääjä salaa haitallisen koodin salatekstiksi ja sisällyttää salauksen purkutavan salatekstin jälkeen.