Download drive-by

Quando si crea un download drive-by, un utente malintenzionato deve prima creare i propri contenuti dannosi per eseguire l’attacco. Con l’aumento dei pacchetti exploit che contengono le vulnerabilità necessarie per eseguire attacchi drive-by download, il livello di abilità necessario per eseguire questo attacco è stato ridotto.

Il passo successivo è quello di ospitare il contenuto dannoso che l’utente malintenzionato desidera distribuire. Un’opzione è per l’attaccante di ospitare il contenuto dannoso sul proprio server. Tuttavia, a causa della difficoltà di indirizzare gli utenti a una nuova pagina, potrebbe anche essere ospitata su un sito Web legittimo compromesso o su un sito Web legittimo che distribuisce inconsapevolmente i contenuti degli aggressori attraverso un servizio di terze parti (ad esempio una pubblicità). Quando il contenuto viene caricato dal client, l’utente malintenzionato analizzerà l’impronta digitale del client al fine di personalizzare il codice per sfruttare le vulnerabilità specifiche di quel client.

Infine, l’attaccante sfrutta le vulnerabilità necessarie per lanciare l’attacco di download drive-by. Drive-by download di solito utilizzano una delle due strategie. La prima strategia sta sfruttando le chiamate API per vari plugin. Ad esempio, l’API DownloadAndInstall del componente Sina ActiveX non ha controllato correttamente i suoi parametri e ha permesso il download e l’esecuzione di file arbitrari da Internet. La seconda strategia prevede la scrittura di shellcode in memoria e quindi lo sfruttamento delle vulnerabilità nel browser Web o nel plugin per deviare il flusso di controllo del programma sul codice della shell. Dopo che lo shellcode è stato eseguito, l’utente malintenzionato può eseguire ulteriori attività dannose. Questo spesso comporta il download e l’installazione di malware, ma può essere qualsiasi cosa, tra cui il furto di informazioni per inviare di nuovo all’attaccante.

L’attaccante può anche adottare misure per impedire il rilevamento durante l’attacco. Un metodo è quello di fare affidamento sull’offuscamento del codice dannoso. Questo può essere fatto attraverso l’uso di IFRAME. Un altro metodo è quello di crittografare il codice dannoso per impedire il rilevamento. Generalmente l’attaccante crittografa il codice dannoso in un testo cifrato, quindi include il metodo di decrittografia dopo il testo cifrato.