Téléchargement en mode drive-by

Lors de la création d’un téléchargement en mode drive-by, un attaquant doit d’abord créer son contenu malveillant pour effectuer l’attaque. Avec l’augmentation du nombre de packs d’exploits contenant les vulnérabilités nécessaires pour effectuer des attaques par téléchargement en voiture, le niveau de compétence nécessaire pour effectuer cette attaque a été réduit.

L’étape suivante consiste à héberger le contenu malveillant que l’attaquant souhaite distribuer. Une option consiste pour l’attaquant à héberger le contenu malveillant sur son propre serveur. Cependant, en raison de la difficulté de diriger les utilisateurs vers une nouvelle page, elle peut également être hébergée sur un site Web légitime compromis ou un site Web légitime distribuant sans le savoir le contenu des attaquants via un service tiers (par exemple une publicité). Lorsque le contenu est chargé par le client, l’attaquant analysera l’empreinte digitale du client afin d’adapter le code pour exploiter les vulnérabilités spécifiques à ce client.

Enfin, l’attaquant exploite les vulnérabilités nécessaires pour lancer l’attaque de téléchargement drive-by. Les téléchargements au volant utilisent généralement l’une des deux stratégies. La première stratégie consiste à exploiter les appels d’API pour divers plugins. Par exemple, l’API DownloadAndInstall du composant Sina ActiveX n’a pas correctement vérifié ses paramètres et a permis le téléchargement et l’exécution de fichiers arbitraires à partir d’Internet. La deuxième stratégie consiste à écrire du shellcode en mémoire, puis à exploiter les vulnérabilités du navigateur Web ou du plugin pour détourner le flux de contrôle du programme vers le code shell. Une fois le shellcode exécuté, l’attaquant peut effectuer d’autres activités malveillantes. Cela implique souvent le téléchargement et l’installation de logiciels malveillants, mais peut être n’importe quoi, y compris le vol d’informations à renvoyer à l’attaquant.

L’attaquant peut également prendre des mesures pour empêcher la détection tout au long de l’attaque. Une méthode consiste à s’appuyer sur l’obscurcissement du code malveillant. Cela peut être fait grâce à l’utilisation d’IFrames. Une autre méthode consiste à chiffrer le code malveillant pour empêcher la détection. Généralement, l’attaquant chiffre le code malveillant en un texte chiffré, puis inclut la méthode de déchiffrement après le texte chiffré.