Ataki "drive-by download"

Nowa polityka rozpowszechniania złośliwego oprogramowania jest znana, jednak nigdy nie była obserwowana w tak dużej skali. Robaki wstrzykiwane są do naszych komputerów dzięki atakom „drive-by download” przez co jest to praktycznie niewidoczne dla użytkownika. Najniebezpieczniejsze w całym procederze jest to, że złośliwy kod wstrzykiwany jest coraz częściej z renomowanych stron internetowych.

Eksperci z G Data postanowili przeprowadzić badanie wyjaśniające w jaki sposób cyberprzestępcy osiągają swój cel tak łatwo. Skuteczność ataków szacuje się bowiem na około 80%. Tempo rozpowszechniania oprogramowania po sieci również przyprawia o zawrót głowy.

Pierwszym krokiem był kontakt z właścicielami stron i serwerów, które rozpowszechniają złośliwe oprogramowanie. Większość z właścicieli posiadała wiedzę o tym, że za pośrednictwem ich serwerów atakowani są użytkownicy. Dlaczego więc złośliwe oprogramowanie wciąż jest dystrybuowane za ich pośrednictwem? 45% administratorów stwierdziło, że usunięcie szkodliwego oprogramowania działającego jak „pistolety natryskowe” zajmuje im bardzo dużo czasu – od kilku dni do kliku tygodni. Znaleźli się i tacy, którzy poddali się i pogodzili z tym faktem.

G Data Security Lab zwraca uwagę na fakt, że przestępcy coraz częściej stosują nowe metody rozpowszechnia złośliwych programów, zamiast tradycyjnych masowych wysyłek poczty elektronicznej. Przedstawiana technika cieszy się szczególną popularnością w Polsce i reszcie krajów Europy Środkowej.

„Przestępcy rozpowszechniający złośliwe programy przez strony internetowe wykorzystują 3 słabe punkty serwisów. Jeden z nich to zabezpieczanie serwerów stron słabymi hasłami, np. admin123. Takie hasła można złamać przy pomocy automatycznie przeprowadzonej słownikowej metody ataku w przeciągu kilku sekund“, twierdzi Ralf Benzmüller.

Oprócz krótkich i prostych haseł, słabością serwisów webowych jest też wykorzystywane oprogramowanie – sklepy internetowe, systemy Content Management, programy obsługujące blogi i fora internetowe. „Najczęściej stosowane są domyślne ustawienia oprogramowania do obsługi serwisu. Programy często nie są aktualizowane, przez co powstają istotne luki w zabezpieczeniach serwisów. Za pomocą specjalnego zapytania, wyszukiwarka internetowa pozwala w prosty sposób wyszukać w Internecie strony podatne na ataki i przejąć nad nimi kontrolę. Regularna aktualizacja oprogramowania to bardzo ważny czynnik. Kolejny słaby punkt to niefiltrowane dane wpisywane na stronach przez użytkowników serwisów, np. w formularzach stron internetowych. Można je wykorzystać do przeprowadzenia ataków typu Cross-Site-Scripting lub SQL Injection. Niestety ilość dostępnych narzędzi filtrujących jest ograniczona, więc jest to najbardziej skuteczna metoda używana do kompromitacji serwisów internetowych.“

Oczywiście proste hasła, luki w zabezpieczeniach oprogramowania serwerów stron oraz niewystarczające filtrowanie przekazywanych danych, to tylko niektóre z przyczyn częstego przejmowania kontroli nad serwisami internetowymi.