Drive-by letöltés
drive-by letöltés létrehozásakor a támadónak először létre kell hoznia rosszindulatú tartalmát a támadás végrehajtásához. A drive-by letöltési támadások végrehajtásához szükséges sebezhetőségeket tartalmazó exploit csomagok növekedésével csökkent a támadás végrehajtásához szükséges képzettségi szint.
a következő lépés a támadó által terjeszteni kívánt rosszindulatú tartalom tárolása. Az egyik lehetőség, hogy a támadó saját szerverén tárolja a rosszindulatú tartalmat. Azonban a felhasználók új oldalra való irányításának nehézségei miatt előfordulhat, hogy egy kompromittált legitim webhelyen vagy egy legitim webhelyen is tárolható, amely tudatlanul terjeszti a támadók tartalmát egy harmadik fél szolgáltatásán keresztül (például egy hirdetés). Amikor az ügyfél betölti a tartalmat, a támadó elemzi az ügyfél ujjlenyomatát annak érdekében, hogy a kódot az adott ügyfélre jellemző biztonsági rések kihasználására szabja.
végül a támadó kihasználja a szükséges biztonsági réseket a drive-by download támadás elindításához. A Drive-by letöltések általában a két stratégia egyikét használják. Az első stratégia az API-hívások kihasználása különféle bővítményekhez. Például a Sina ActiveX összetevő DownloadAndInstall API-ja nem ellenőrizte megfelelően a paramétereit, és lehetővé tette tetszőleges fájlok letöltését és végrehajtását az internetről. A második stratégia magában foglalja a shellcode írását a memóriába,majd a webböngésző vagy a plugin sebezhetőségének kihasználását, hogy a program vezérlési folyamatát a shell kódra irányítsa. A shellcode végrehajtása után a támadó további rosszindulatú tevékenységeket hajthat végre. Ez gyakran magában foglalja a rosszindulatú programok letöltését és telepítését, de bármi lehet, beleértve az információk ellopását, hogy visszaküldjék a támadónak.
a támadó intézkedéseket is tehet annak érdekében, hogy megakadályozza az észlelést a támadás során. Az egyik módszer a rosszindulatú kód elhomályosítására támaszkodik. Ezt iframe-ek használatával lehet megtenni. Egy másik módszer a rosszindulatú kód titkosítása az észlelés megakadályozása érdekében. Általában a támadó titkosítja a rosszindulatú kódot egy rejtjelezett szövegbe, majd a rejtjelezett szöveg után tartalmazza a visszafejtési módszert.
Leave a Reply