Pobieranie z dysku

podczas tworzenia pobierania z dysku, atakujący musi najpierw utworzyć złośliwą zawartość, aby wykonać atak. Wraz ze wzrostem liczby pakietów exploitów, które zawierają luki potrzebne do przeprowadzania ataków drive-by download, poziom umiejętności potrzebny do wykonania tego ataku został zmniejszony.

następnym krokiem jest hostowanie złośliwych treści, które atakujący chce rozpowszechniać. Jedną z opcji jest hostowanie przez atakującego złośliwych treści na własnym serwerze. Jednak ze względu na trudności w kierowaniu użytkowników do nowej strony, może ona być również hostowana na naruszonej legalnej stronie internetowej lub legalnej stronie nieświadomie rozprowadzającej treści atakujących za pośrednictwem usługi strony trzeciej (np. reklamy). Gdy zawartość zostanie załadowana przez Klienta, atakujący przeanalizuje odcisk palca Klienta w celu dostosowania kodu do wykorzystania luk specyficznych dla tego klienta.

wreszcie, atakujący wykorzystuje niezbędne luki, aby uruchomić atak pobierania drive-by. Pliki do pobrania Drive – by zwykle używają jednej z dwóch strategii. Pierwszą strategią jest wykorzystanie wywołań API dla różnych wtyczek. Na przykład API DownloadAndInstall komponentu Sina ActiveX nie sprawdziło poprawnie jego parametrów i umożliwiło pobieranie i wykonywanie dowolnych plików z Internetu. Druga strategia polega na zapisaniu shellcode do pamięci, a następnie wykorzystaniu luk w przeglądarce internetowej lub wtyczce w celu przekierowania przepływu sterowania programu do kodu powłoki. Po wykonaniu kodu powłoki atakujący może wykonywać dalsze szkodliwe działania. Często wiąże się to z pobieraniem i instalowaniem złośliwego oprogramowania, ale może to być wszystko, w tym kradzież informacji, aby wysłać je atakującemu.

atakujący może również podjąć środki, aby zapobiec wykryciu podczas ataku. Jedną z metod jest poleganie na zaciemnianiu złośliwego kodu. Można to zrobić za pomocą ramek iFrame. Inną metodą jest szyfrowanie złośliwego kodu, aby zapobiec wykryciu. Zazwyczaj atakujący szyfruje złośliwy kod do zaszyfrowanego tekstu, a następnie zawiera metodę deszyfrowania po zaszyfrowanym tekście.