Drive-by download

când creați o descărcare drive-by, un atacator trebuie să creeze mai întâi conținutul rău intenționat pentru a efectua atacul. Odată cu creșterea pachetelor de exploatare care conțin vulnerabilitățile necesare pentru a efectua atacuri de descărcare drive-by, nivelul de calificare necesar pentru a efectua acest atac a fost redus.

următorul pas este să găzduiți conținutul rău intenționat pe care atacatorul dorește să îl distribuie. O opțiune este ca atacatorul să găzduiască conținutul rău intenționat pe propriul server. Cu toate acestea, din cauza dificultății de a direcționa utilizatorii către o nouă pagină, aceasta poate fi găzduită și pe un site web legitim compromis sau pe un site web legitim care distribuie în necunoștință de cauză conținutul atacatorilor printr-un serviciu terț (de exemplu, o reclamă). Când conținutul este încărcat de client, atacatorul va analiza amprenta clientului pentru a adapta codul pentru a exploata vulnerabilitățile specifice acelui client.

în cele din urmă, atacatorul exploatează vulnerabilitățile necesare pentru a lansa atacul de descărcare drive-by. Descărcările Drive-by folosesc de obicei una dintre cele două strategii. Prima strategie este exploatarea apelurilor API pentru diverse pluginuri. De exemplu, API-ul DownloadAndInstall al componentei Sina ActiveX nu și-a verificat corect parametrii și a permis descărcarea și executarea fișierelor arbitrare de pe internet. A doua strategie implică scrierea codului shellcode în memorie și apoi exploatarea vulnerabilităților din browserul web sau pluginul pentru a devia fluxul de control al programului Către codul shell. După ce codul shellcode a fost executat, atacatorul poate efectua alte activități rău intenționate. Acest lucru implică adesea descărcarea și instalarea de programe malware, dar poate fi orice, inclusiv furtul de informații pentru a le trimite înapoi atacatorului.

atacatorul poate lua, de asemenea, măsuri pentru a preveni detectarea pe tot parcursul atacului. O metodă este să vă bazați pe ascunderea codului rău intenționat. Acest lucru se poate face prin utilizarea iframe-urilor. O altă metodă este criptarea codului rău intenționat pentru a preveni detectarea. În general, atacatorul criptează codul rău intenționat într-un text cifrat, apoi include metoda de decriptare după textul cifrat.