Drive-by download

bij het maken van een drive-by download moet een aanvaller eerst zijn kwaadaardige inhoud aanmaken om de aanval uit te voeren. Met de toename van exploit packs die de kwetsbaarheden die nodig zijn voor het uitvoeren van drive-by download aanvallen bevatten, is het vaardigheidsniveau dat nodig is om deze aanval uit te voeren verminderd.

de volgende stap is het hosten van de kwaadaardige inhoud die de aanvaller wil verspreiden. Een optie is voor de aanvaller om de kwaadaardige inhoud te hosten op hun eigen server. Echter, vanwege de moeilijkheid in het leiden van gebruikers naar een nieuwe pagina, het kan ook worden gehost op een gecompromitteerde legitieme website, of een legitieme website onbewust verspreiden van de aanvallers inhoud via een dienst van derden (bijvoorbeeld een advertentie). Wanneer de inhoud door de client wordt geladen, zal de aanvaller de vingerafdruk van de client analyseren om de code aan te passen aan kwetsbaarheden die specifiek zijn voor die client.

ten slotte maakt de aanvaller gebruik van de nodige kwetsbaarheden om de drive-by download aanval te starten. Drive-by downloads gebruiken meestal een van de twee strategieën. De eerste strategie is het benutten van API vraagt om verschillende plugins. Bijvoorbeeld, de DownloadAndInstall API van de Sina ActiveX component niet goed te controleren zijn parameters en liet het downloaden en uitvoeren van willekeurige bestanden van het internet. De tweede strategie omvat het schrijven van shellcode naar het geheugen, en vervolgens het benutten van kwetsbaarheden in de webbrowser of plugin om de controlestroom van het programma om te leiden naar de shell-code. Nadat de shellcode is uitgevoerd, de aanvaller kan verdere kwaadaardige activiteiten uit te voeren. Dit gaat vaak om het downloaden en installeren van malware, maar kan van alles zijn, inclusief het stelen van informatie om terug te sturen naar de aanvaller.

de aanvaller kan ook maatregelen nemen om detectie tijdens de aanval te voorkomen. Een methode is om te vertrouwen op de verduistering van de kwaadaardige code. Dit kan worden gedaan door het gebruik van IFrames. Een andere methode is om de kwaadaardige code te versleutelen om detectie te voorkomen. Over het algemeen de aanvaller versleutelt de kwaadaardige code in een cijfertekst, dan omvat de decryptie methode na de cijfertekst.