路过式下载

(重定向自路過式下載

路过式下载(Drive-by download)是对互联网上的一种行为的描述,一般表现为:

  1. 任何不希望用户知晓的下载行为
  2. 在用户不知道的情况下下载间谍软件计算机病毒或者任何恶意软件。路过式下载可能发生在用户访问一个网站、阅读一封电子邮件、或者点击一个欺骗性弹出式窗口的时候[1]。例如,用户误以为这个弹出式窗口是自己的计算机提示错误的窗口或者以为这是一个正常的弹出式广告,因此点击了这个窗口。[2]

路過式安裝是一個類似的手段,它是指使一個用戶在不知情的情況下安裝軟體(雖然有時候這兩個術語是可以互換的)。

過程

在製造一個路過式下載時,攻擊者必須先製作好他們的惡意內容來進行攻擊,由於有越來越多供駭客使用的漏洞工具包(Exploit pack)都擁有進行路過式下載所需的漏洞,路過式下載所需的技術層級已經降低了許多。[3]

下一步是寄生其他電腦並使其成為攻擊者想散佈的惡意內容的來源,攻擊者可以在自己的伺服器上放置惡意內容,但由於將用戶導向至新的頁面的困難度,通常攻擊者也會尋找一些網站與其合夥來散佈惡意內容,或是透過入侵網路廣告等手法來使更多不知情的網站幫忙散佈內容,當用戶執行惡意內容的時候,攻擊者就會透過分析裝置指紋為每一個用戶訂製不同的攻擊手法。[4]

最後,一個路過式下載通常會進行下列兩種行為的中的一個,第一種是利用應用程式介面安裝各種外掛程式。例如ActiveX的下載及安裝API沒有妥善檢查它的參數,並允許了下載和執行來自網路上的任意檔案。第二種則是先編寫Shellcode到記憶體,然後利用瀏覽器或是插件的漏洞執行Shellcode[4],當Shellcode被執行之後攻擊者就可以進行下一步的惡意行為,像是下載惡意軟體或是竊取資料。[3]

偵測方法

參見

參考文獻

  1. ^ Olsen, Stefanie. Web surfers brace for pop-up downloads. CNET News. 8 April 2002 [28 October 2010]. (原始内容存档于2014-10-22). 
  2. ^ Exploit on Amnesty pages tricks AV software. The H online. Heinz Heise. 20 April 2011 [8 January 2011]. (原始内容存档于2021-02-25). 
  3. ^ 3.0 3.1 Le, Van Lam; Welch, Ian; Gao, Xiaoying; Komisarczuk, Peter. Anatomy of Drive-by Download Attack. Proceedings of the Eleventh Australasian Information Security Conference - Volume 138. AISC '13 (Darlinghurst, Australia, Australia: Australian Computer Society, Inc.). 2013-01-01: 49–58 [2019-08-13]. ISBN 9781921770234. (原始内容存档于2023-07-15). 
  4. ^ 4.0 4.1 Egele, Manuel; Kirda, Engin; Kruegel, Christopher. Mitigating Drive-By Download Attacks: Challenges and Open Problems. iNetSec 2009 – Open Research Problems in Network Security. IFIP Advances in Information and Communication Technology 309. Springer Berlin Heidelberg. 2009-01-01: 52–62. ISBN 978-3-642-05436-5. doi:10.1007/978-3-642-05437-2_5 (英语).