Na czym polega atak drive-by download?

Przeczytaj także: Cyberprzestępcy a luki w oprogramowaniu

Ataki wykorzystujące przeglądarkę

Ryana Naraine, aby wyjaśnić gwałtowny wzrost popularności wykorzystywania przeglądarki internetowej jako narzędzia ataków, przyjrzał się historii największych ataków przeprowadzanych na komputery za pośrednictwem Internetu. W „okresie robaków internetowych”, gdy w sieciach korporacyjnych spustoszenie siały takie robaki jak Code Red, Blaster, Slammer oraz Sasser, hakerzy wykorzystywali luki w systemie operacyjnym Windows przy użyciu zdalnych exploitów. (O zdalnym exploicie mówimy wtedy, gdy szkodliwy program znajduje się na serwerze podłączonym do sieci i wykorzystuje legalny kod na komputerze użytkownika, jednak w celu wykorzystania luki w zabezpieczeniach nie musi uzyskiwać dostępu do komputera użytkownika). Zainfekowane pliki wykonywalne, takie jak Melissa, często dołączane były do wiadomości e-mail lub przedostawały się do systemów za pośrednictwem komunikatorów internetowych i aplikacji P2P.

Microsoft zareagował na ataki robaków w pozytywny sposób. Firma dodała zaporę sieciową, która w systemie Windows XP SP2 jest domyślnie włączona, oraz zaimplementowała kilka mechanizmów osłabiających ataki robaków. Włączona funkcja automatycznych aktualizacji w systemie Windows pomagała użytkownikom regularnie instalować łaty dla systemu operacyjnego. Zmądrzały zarówno firmy, jak i użytkownicy, którzy zaczęli blokować załączniki i przestali klikać nietypowe pliki wykonywalne. Oba te czynniki skłoniły cyberprzestępców do zmiany taktyk: zaczęli atakować aplikacje innych producentów oraz doskonalić sztukę socjotechniki.
Ewolucja ta przyczyniła się również do wyłonienia się nowej techniki ukradkowych ataków określanych jako drive-by download. Opierają się one na wykorzystywaniu przeglądarki jako mechanizmu, za pomocą którego użytkownicy komputerów łączą się z serwerami, na których umieszczono exploity. W ataku „drive-by” szkodliwy program jest automatycznie pobierany na komputer użytkownika bez jego wiedzy oraz zgody. Atak odbywa się w dwóch etapach. Użytkownik odwiedza stronę internetową zawierającą szkodliwy kod, który przekierowuje to połączenie na zainfekowany serwer należący do osoby trzeciej i zawierający exploity. Rysunek obok, od Google Anti-Malware Team, pokazuje podstawowy schemat ataku drive-by download. Exploity te mogą wykorzystywać luki w zabezpieczeniach przeglądarki internetowej, niezałatane wtyczki do przeglądarki, podatne na ataki formanty ActiveX oraz błędy w oprogramowaniu innych producentów. Jak widać na rysunku, zanim zostanie pobrany exploit, może nastąpić dowolna liczba przekierowań na różne strony internetowe.
Według danych Kaspersky Lab, jak również innych firm z branży bezpieczeństwa, jesteśmy w środku epidemii ataków drive-by download. Przez ostatnie dziesięć miesięcy grupa Google Anti-Malware Team odwiedziła miliardy stron internetowych w poszukiwaniu aktywności szkodliwego oprogramowania, znajdując ponad trzy miliony adresów URL, z których inicjowane były ataki drive-by download.

„Jeszcze bardziej niepokojącym odkryciem było to, że około 1,3 procent zapytań w wyszukiwarce Google zwróciło co najmniej jeden adres URL oznaczony na stronie wyników jako zainfekowany” – wynika z badania opublikowanego przez Google. Dane z badania pokazują niepokojący wzrost odsetka wyszukiwań, których wyniki zawierały zainfekowane strony.