Попутная загрузка - Drive-by download

Попутная загрузка означает две вещи, каждая из которых касается непреднамеренного скачать из компьютер программного обеспечения от Интернет:

  1. Загрузки, разрешенные лицом, но без понимания последствий (например, загрузки, устанавливающие неизвестные или поддельные исполняемая программа, ActiveX компонент, или Ява апплет).
  2. Любой скачать это происходит без ведома человека, часто Компьютерный вирус, шпионское ПО, вредоносное ПО, или же преступное ПО.[1]

Попутные загрузки могут происходить при посещении интернет сайт, открыв вложение электронной почты или щелкнув ссылку, или щелкнув ложное всплывающее окно:[2] щелкнув по окну, ошибочно полагая, что, например, подтверждается отчет об ошибке от самой операционной системы компьютера или закрывается, казалось бы, безобидное рекламное всплывающее окно. В таких случаях «поставщик» может заявить, что пользователь «дал согласие» на загрузку, хотя на самом деле пользователь не знал, что начал загрузку нежелательного или вредоносного программного обеспечения. Точно так же, если человек посещает сайт с вредоносным контентом, он может стать жертвой атаки с попутной загрузкой. То есть вредоносный контент может использовать уязвимости в браузере или плагинах для запуска вредоносного кода без ведома пользователя.[3]

А проездная установка (или же установка) - аналогичное событие. Это относится к установка вместо загрузки (хотя иногда эти два термина используются как синонимы).

Процесс

При создании скрытой загрузки злоумышленник должен сначала создать свой вредоносный контент для выполнения атаки. С ростом количества пакетов эксплойтов, содержащих уязвимости, необходимые для проведения атак методом прямой загрузки, уровень навыков, необходимых для выполнения этой атаки, снизился.[3]

Следующим шагом является размещение вредоносного содержимого, которое злоумышленник желает распространить. Один из вариантов - злоумышленник размещает вредоносный контент на своем собственном сервере. Однако из-за сложности направления пользователей на новую страницу она также может быть размещена на взломанном законном веб-сайте или на законном веб-сайте, неосознанно распространяющем контент злоумышленников через сторонняя служба (например, реклама). Когда контент загружается клиентом, злоумышленник проанализирует отпечаток пальца клиента, чтобы адаптировать код для использования уязвимостей, специфичных для этого клиента.[4]

Наконец, злоумышленник использует необходимые уязвимости для запуска атаки с попутной загрузкой. Попутные загрузки обычно используют одну из двух стратегий. Первая стратегия - использование API призывает к различным плагины. Например, DownloadAndInstall API Sina ActiveX Компонент неправильно проверял свои параметры и разрешал загрузку и выполнение произвольных файлов из Интернета. Вторая стратегия предполагает написание шеллкод в память, а затем использовать уязвимости в веб-браузере или плагине для перенаправления потока управления программы на код оболочки.[4] После выполнения шелл-кода злоумышленник может выполнять дальнейшие вредоносные действия. Это часто связано с загрузкой и установкой вредоносное ПО, но может быть чем угодно, включая кражу информации для отправки обратно злоумышленнику.[3]

Злоумышленник также может принять меры для предотвращения обнаружения на протяжении всей атаки. Один из способов - полагаться на обфускация вредоносного кода. Это можно сделать с помощью IFrames.[3] Другой метод - зашифровать вредоносный код для предотвращения обнаружения. Обычно злоумышленник шифрует вредоносный код в зашифрованный текст, затем включает метод дешифрования после зашифрованного текста.[4]

Обнаружение

Обнаружение атак с загрузкой через диск - активная область исследований. Некоторые методы обнаружения включают: обнаружение аномалии, который отслеживает изменения состояния в компьютерной системе пользователя, когда пользователь посещает веб-страницу. Это включает в себя мониторинг компьютерной системы пользователя на предмет аномальных изменений при отображении веб-страницы. Другие методы обнаружения включают обнаружение, когда злоумышленник записывает в память вредоносный код (шелл-код). Другой метод обнаружения - создание среды выполнения, позволяющей JavaScript код для запуска и отслеживания его поведения во время выполнения. Другие методы обнаружения включают изучение содержимого HTML-страниц для определения функций, которые могут использоваться для идентификации вредоносных веб-страниц, и использование характеристик веб-серверов для определения вредоносной страницы.[3] Некоторые антивирусные инструменты используют статические подписи для сопоставления шаблонов вредоносных скриптов, хотя они не очень эффективны из-за методов обфускации. Обнаружение также возможно при использовании низкого или высокого уровня взаимодействия. медовые клиенты.[4]

Попутные загрузки также можно предотвратить с помощью блокировщиков сценариев, таких как NoScript, который можно легко добавить в браузеры, такие как Firefox. Используя такой блокировщик сценариев, пользователь может отключить все сценарии на данной веб-странице, а затем выборочно повторно включить отдельные сценарии по отдельности, чтобы определить, какие из них действительно необходимы для функциональности веб-страницы. Таким образом, можно быстро создать белый список приемлемых сценариев, что, в свою очередь, облегчит удобный, безопасный и эффективный просмотр других веб-сайтов. Такая блокировка скриптов также экономит время и пропускную способность (следовательно, деньги) для пользователя, поскольку скрипты, которые загружают рекламу (особенно таргетированную рекламу) и вторгаются в конфиденциальность пользователя (через отслеживание и профилирование), больше не представляют собой личную утечку для пользователя и его / ее ресурсы.

Смотрите также

Рекомендации

  1. ^ "Использование на страницах амнистии хитрости в антивирусном ПО". The H онлайн. Heinz Heise. 20 апреля 2011 г.. Получено 8 января 2011.
  2. ^ Олсен, Стефани (8 апреля 2002 г.). "Веб-серферы готовы к загрузке всплывающих окон". CNET Новости. Получено 28 октября 2010.
  3. ^ а б c d е Ле, Ван Лам; Уэлч, Ян; Гао, Сяоин; Комисарчук, Петр (1 января 2013 г.). Анатомия атаки на скачивание. Труды одиннадцатой Австралазийской конференции по информационной безопасности - Том 138. AISC '13. Дарлингхерст, Австралия, Австралия: Австралийское компьютерное общество, Inc., стр. 49–58. ISBN  9781921770234.
  4. ^ а б c d Эгеле, Мануэль; Кирда, Энгин; Крюгель, Кристофер (1 января 2009 г.). «Снижение риска атак на скачивание: вызовы и открытые проблемы». iNetSec 2009 - Открытые исследования проблем сетевой безопасности. Достижения ИФИП в области информационных и коммуникационных технологий. 309. Springer Berlin Heidelberg. С. 52–62. Дои:10.1007/978-3-642-05437-2_5. ISBN  978-3-642-05436-5.