Drive-by-nedladdning

när du skapar en drive-by-nedladdning måste en angripare först skapa sitt skadliga innehåll för att utföra attacken. Med ökningen av exploit-paket som innehåller de sårbarheter som behövs för att utföra drive-by-nedladdningsattacker har den kompetensnivå som behövs för att utföra denna attack minskats.

nästa steg är att vara värd för det skadliga innehållet som angriparen vill distribuera. Ett alternativ är att angriparen är värd för det skadliga innehållet på sin egen server. På grund av svårigheten att rikta användare till en ny sida kan den dock också vara värd på en komprometterad legitim webbplats eller en legitim webbplats som omedvetet distribuerar angriparnas innehåll via en tredje parts tjänst (t.ex. en annons). När innehållet laddas av klienten kommer angriparen att analysera klientens fingeravtryck för att skräddarsy koden för att utnyttja sårbarheter som är specifika för den klienten.

slutligen utnyttjar angriparen de nödvändiga sårbarheterna för att starta drive-by download attack. Drive-by-nedladdningar använder vanligtvis en av två strategier. Den första strategin är att utnyttja API-samtal för olika plugins. Till exempel kontrollerade DownloadAndInstall API för Sina ActiveX-komponenten inte dess parametrar korrekt och tillät nedladdning och körning av godtyckliga filer från internet. Den andra strategin innebär att skriva skalkod till minnet och sedan utnyttja sårbarheter i webbläsaren eller plugin för att avleda programmets kontrollflöde till skalkoden. Efter att skalkoden har körts kan angriparen utföra ytterligare skadliga aktiviteter. Detta innebär ofta att ladda ner och installera skadlig kod, men kan vara vad som helst, inklusive att stjäla information för att skicka tillbaka till angriparen.

angriparen kan också vidta åtgärder för att förhindra upptäckt under hela attacken. En metod är att förlita sig på förvirring av skadlig kod. Detta kan göras genom användning av IFrames. En annan metod är att kryptera skadlig kod för att förhindra upptäckt. I allmänhet krypterar angriparen den skadliga koden till en chiffertext och inkluderar sedan dekrypteringsmetoden efter chiffertexten.