Drive-by nedlasting
når du oppretter en drive-by nedlasting, må en angriper først opprette skadelig innhold for å utføre angrepet. Med økningen i utnyttelsespakker som inneholder sårbarhetene som trengs for å utføre drive-by download-angrep, har ferdighetsnivået som trengs for å utføre dette angrepet, blitt redusert.
det neste trinnet er å være vert for skadelig innhold som angriperen ønsker å distribuere. Ett alternativ er for angriperen å være vert for skadelig innhold på sin egen server. Men på grunn av vanskeligheten med å lede brukere til en ny side, kan den også være vert på et kompromittert legitimt nettsted, eller et legitimt nettsted som uvitende distribuerer angriperne innhold gjennom en tredjepartstjeneste (f.eks. en annonse). Når innholdet lastes inn av klienten, analyserer angriperen klientens fingeravtrykk for å skreddersy koden for å utnytte sårbarheter som er spesifikke for den klienten.
til slutt utnytter angriperen de nødvendige sårbarhetene for å starte drive-by download-angrepet. Drive-by nedlastinger bruker vanligvis en av to strategier. Den første strategien er å utnytte API-kall for ulike plugins. For Eksempel, Nedlastingenoginstaller API Av Sina ActiveX-komponenten sjekket ikke parametrene riktig og tillot nedlasting og utførelse av vilkårlig filer fra internett. Den andre strategien innebærer å skrive shellcode til minne, og deretter utnytte sårbarheter i nettleseren eller plugin for å avlede kontrollflyten av programmet til shell-koden. Etter at shellcode er utført, kan angriperen utføre ytterligere ondsinnede aktiviteter. Dette innebærer ofte å laste ned og installere skadelig programvare, men kan være alt, inkludert å stjele informasjon for å sende tilbake til angriperen.
angriperen kan også iverksette tiltak for å hindre deteksjon gjennom angrepet. En metode er å stole på obfuscation av ondsinnet kode. Dette kan gjøres ved bruk av IFrames. En annen metode er å kryptere den ondsinnede koden for å forhindre deteksjon. Vanligvis krypterer angriperen den ondsinnede koden i en chiffertekst, og inkluderer deretter dekrypteringsmetoden etter chifferteksten.
Leave a Reply