Drive-by-Download
Aquest article o secció necessita millorar una traducció deficient. |
Drive-by-Download significa dues coses, ambdues referides a la descàrrega involuntària de programari d'ordinador provinent d'Internet:
- Descàrregues autoritzades per una persona que no comprèn les conseqüències (p. ex. descàrregues que instal·len automàticament una falsificació d'un programa executable, component ActiveX, o applet de Java ).
- Qualsevol descàrrega realitzada sense el coneixement d'una persona, sovint un virus d'ordinador, spyware, malware, o crimeware.[1]
Un atac Drive-by-Download pot tenir lloc visitant un pàgina web, visualitzant un missatge de correu electrònic, o prement sobre un missatge emergent que mostri informació enganyosa, per exemple: un informe d'error del sistema operatiu, publicitat aparentment inofensiva,.[2] En tals casos, el "proveïdor" pot reclamar que l'usuari "permeti" la descàrrega, tot i que l'usuari no sigui conscient del fet d'haver autoritzat aquesta descàrrega de programari no desitjada o maliciosa. De manera semblant si una persona està visitant un lloc amb contingut maliciós, pot arribar a ser víctima d'un atac Drive-by-download. El contingut maliciós pot ser capaç d'explotar vulnerabilitats en el navegador o en els seus complements per executar codi maligne sense el coneixement de l'usuari.[3]
Un Drive-by-install (o instal·lació) és un fet similar. Fa referència a la instal·lació a més a més de la descàrrega (així i tot de vegades la diferència entre els dos termes és difusa i són emprats indistintament).
Procés
[modifica]En crear un Drive-by-Download, un atacant ha de crear primer el seu contingut maliciós per a realitzar l'atac. Amb l'augment dels packs de exploit que contenen les vulnerabilitats necessàries per dur a terme atacs Drive-by-Download, el nivell d'habilitat necessari per dur a terme aquest tipus d'atac s'ha reduït.[3]
El següent pas és allotjar el contingut maliciós que l'atacant desitja distribuir. Una opció és que l'atacant allotgi el contingut maliciós en el seu propi servidor. No obstant això, a causa de la dificultat de dirigir als usuaris a una nova pàgina, també pot allotjar-se en un lloc web legítim que hagi estat compromès, o un lloc web legítim que distribueix, sense saber-ho, el contingut dels atacants a través d'un servei de tercers (per exemple, un anunci). Quan el contingut és carregat pel client, l'atacant analitzarà l'empremta digital del client per adaptar el codi de cara a explotar les vulnerabilitats específiques d'aquest client.[4]
Finalment, l'atacant explora les vulnerabilitats necessàries per llançar l'atac Drive-by-Download. Generalment aquest tipus d'atac usa dues estratègies: la primera està orientada a explorar la API d'un o diversos plugins. Per exemple, la API DownloadAndInstall del component ActiveX Sina no comprova correctament alguns paràmetres permetent la descàrrega i instal·lació d'arxius indesitjats des d'Internet. La segona estratègia implica escriure shellcode en memòria, i llavors explorar vulnerabilitats del navegador web o d'algun complement per desviar el flux de control del programa al propi shellcode.[4] Després que aquest shellcode hagi estat executat, l'atacant té la capacitat realitzar accionar ladinas de forma remota. Això podria incloure robar informació valuosa per a l'atacant, però més habitualment implica la descàrrega i instal·lació d'altres formes de malware.[3]
A part del procés descrit anteriorment, l'atacant també pot prendre mesures per impedir detecció durant l'atac. Un mètode és dependre de la ofuscació del codi maliciós, això pot ser realitzat a través de l'ús de IFrames.[3] Un altre mètode és per encriptar el codi maliciós per impedir la seva detecció. Generalment l'atacant encripta aquest codi en un ciphertext, llavors inclou també el mètode de desencriptado a continuació en el ciphertext.[4]
Detecció
[modifica]La detecció dels atacs Drive-by-Download és una àrea activa de recerca. Alguns mètodes de detecció impliquen la detecció d'anomalies, que rastregen els canvis d'estat en el sistema informàtic d'un usuari mentre l'usuari visita una pàgina web. Això implica supervisar el sistema informàtic de l'usuari per detectar canvis anòmals quan es processa una pàgina web. Altres mètodes de detecció inclouen detectar quan el codi maliciós (shellcode) és carregat en memòria pel exploit d'un atacant. Els mètodes de detecció també inclouen la creació d'entorns en temps d'execució que permeten al codi Javascript executar-se rastrejant el seu comportament mentre és executat. Altres mètodes de detecció inclouen examinar continguts de pàgines HTML per identificar característiques que es poden utilitzar per identificar pàgines web malicioses i utilitzar característiques de servidors web per determinar si una pàgina és maliciosa. A més, algunes eines antivirus utilitzen signatures estàtiques per aparellar patrons de seqüències de comandos malicioses, encara que aquestes no són molt eficaços a causa de tècniques d'ofuscació. Finalment, la detecció també es pot dur a terme mitjançant l'ús de baixa interacció o d'alta interacció honeyclients.[4]
Vegeu també
[modifica]Referències
[modifica]- ↑ «Exploit on Amnesty pages tricks AV software». Heinz Heise, 20-04-2011. [Consulta: 8 gener 2011].
- ↑ Error en el títol o la url.«».
- ↑ 3,0 3,1 3,2 3,3 Le, Van Lam; Welch, Ian; Gao, Xiaoying; Komisarczuk, Peter «Anatomy of Drive-by Download Attack». Proceedings of the Eleventh Australasian Information Security Conference - Volume 138. Australian Computer Society, Inc. [Darlinghurst, Australia, Australia], 01-01-2013, pàg. 49–58.
- ↑ 4,0 4,1 4,2 4,3 Egele, Manuel; Kirda, Engin; Kruegel, Christopher. «Mitigating Drive-By Download Attacks: Challenges and Open Problems». A: iNetSec 2009 – Open Research Problems in Network Security (en anglès). Springer Berlin Heidelberg, 1 de gener de 2009, p. 52–62. DOI 10.1007/978-3-642-05437-2_5.