Na czym polega atak drive-by download?

Przeczytaj także: Cyberprzestępcy a luki w oprogramowaniu

W artykule czytamy, iż w początkowym okresie przeprowadzania ataków drive-by download cyberprzestępcy zwykle tworzyli zainfekowane strony internetowe i wykorzystywali socjotechnikę w celu przyciągnięcia na nie użytkowników. Chociaż nadal jest to główne źródło szkodliwej aktywności online, ostatnio hakerzy częściej włamują się na legalne strony internetowe i ukradkiem wykorzystują skrypt lub umieszczają kod przekierowujący, który niezauważenie uruchamia ataki za pośrednictwem przeglądarki.

Anatomia ataku drive-by

Na początek Ryana Naraine pokazał, w jaki sposób przeprowadzane są ataki drive-by download na komputery użytkowników. Jako przykładu użył jednego z głośnych incydentów, którego ofiarą w 2007 roku padł znany portal internetowy. W tygodniach poprzedzających finałową rozgrywkę o mistrzostwo amerykańskiej zawodowej ligi hakerzy włamali się na stronę stadionu Miami’s Dolphin Stadium, umieszczając na niej fragment kodu JavaScript. Osoba posiadająca komputer z niezałatanym systemem Windows, która odwiedziła tę stronę, została ukradkiem połączona ze zdalnym użytkownikiem, który próbował wykorzystywać znane luki w zabezpieczeniach opisane w biuletynach bezpieczeństwa firmy Microsoft (MS06-014 oraz MS07-004). Jeżeli exploit okazał się skuteczny, na komputer instalował się niepostrzeżenie trojan, który umożliwiał osobie atakującej pełny dostęp do atakowanego komputera. Taki komputer mógł zostać następnie wykorzystany do kradzieży poufnych informacji lub przeprowadzenia ataków DoS.

W tym samym roku hakerzy porwali posiadającą dużą odwiedzalność stronę internetową Banku Indii. Hakerzy przeprowadzili wyrafinowany atak wykorzystujący wielokrotne przekierowania, w wyniku których użytkownicy systemu Windows wysyłani byli na serwer, na którym został umieszczony plik robaka pocztowego, dwa rootkity, dwa trojany downloadery oraz trzy backdoory. Atak na stronę Banku Indii łączył zaciemniane za pomocą JavaScript, liczne przekierowania przy użyciu ramki iFrame oraz techniki fast-flux.

Opisane wyżej przykłady ataków pokazują skalę problemu, jaki dotyka legalne strony internetowe. Śledząc zagrożenia wykorzystujące Sieć, firma ScanSafe ustaliła, że do połowy 2008 roku większość szkodliwych programów została wykryta na legalnych stronach. Raport firmy ScanSafe za trzeci kwartał 2008 roku zawiera kilka interesujących faktów:

• W trzecim kwartale 2008 roku ilość szkodliwego oprogramowania wykorzystującego Sieć wzrosła o 338 procent w porównaniu z pierwszym kwartałem 2008 r. oraz o 553 procent w porównaniu z czwartym kwartałem 2007 r.
• Około 31 procent wszystkich zagrożeń we wrześniu 2008 roku stanowiły zagrożenia zero-day (zagrożenie zero-day to takie, dla którego nie istnieje żadna łata).
• Ryzyko ze strony backdoorów i trojanów kradnących hasła wzrosło we wrześniu 2008 roku o 267 procent w porównaniu ze styczniem 2008 roku.