Download Drive-by

ao criar um download drive-by, um invasor deve primeiro criar seu conteúdo malicioso para realizar o ataque. Com o aumento dos pacotes de exploração que contêm as vulnerabilidades necessárias para realizar ataques de download drive-by, o nível de habilidade necessário para realizar esse ataque foi reduzido.

o próximo passo é hospedar o conteúdo malicioso que o invasor deseja distribuir. Uma opção é que o invasor hospede o conteúdo malicioso em seu próprio servidor. No entanto, devido à dificuldade em direcionar os usuários para uma nova página, ela também pode ser hospedada em um site legítimo comprometido ou em um site legítimo, sem saber, distribuindo o conteúdo dos invasores por meio de um serviço de terceiros (por exemplo, um anúncio). Quando o conteúdo é carregado pelo cliente, o invasor analisará a impressão digital do cliente para adaptar o código para explorar vulnerabilidades específicas a esse cliente.

finalmente, o invasor explora as vulnerabilidades necessárias para iniciar o ataque de download drive-by. OS downloads Drive-by geralmente usam uma das duas estratégias. A primeira estratégia é explorar chamadas de API para vários plugins. Por exemplo, a API DownloadAndInstall do componente Sina ActiveX não verificou corretamente seus parâmetros e permitiu o download e a execução de arquivos arbitrários da internet. A segunda estratégia envolve escrever shellcode na memória e, em seguida, explorar vulnerabilidades no navegador da web ou plugin para desviar o fluxo de controle do programa para o código shell. Após a execução do shellcode, o invasor pode realizar outras atividades maliciosas. Isso geralmente envolve o download e a instalação de malware, mas pode ser qualquer coisa, incluindo roubar informações para enviar de volta ao invasor.

o atacante também pode tomar medidas para evitar a detecção durante todo o ataque. Um método é confiar na ofuscação do código malicioso. Isso pode ser feito através do uso de IFrames. Outro método é criptografar o código malicioso para evitar a detecção. Geralmente, o invasor criptografa o código malicioso em um texto cifrado e, em seguida, inclui o método de descriptografia após o texto cifrado.