Na czym polega atak drive-by download?

Przeczytaj także: Cyberprzestępcy a luki w oprogramowaniu

Osoby atakujące wykorzystywały również „zatrute” serwery reklamowe osób trzecich w celu przekierowywania użytkowników systemu Windows na oszukańcze serwery, na których umieszczany był kod wykorzystywany do przeprowadzania ataków drive-by download. Te zainfekowane reklamy (ang. malvertisement) zwykle tworzone są we Flashu i wykorzystują niezałatane aplikacje.

Zestawy exploitów

Zestawy szkodliwych exploitów stanowią motor ataków drive-by download. Ekspert Kaspersky Lab podaje, że zestawy te to profesjonalnie tworzone komponenty oprogramowania, które mogą być umieszczone na serwerze. Są sprzedawane na stronach hakerskich i zawierają exploity dla luk w zabezpieczeniach różnych popularnych aplikacji dla komputerów, takich jak QuickTime firmy Apple, programy Adobe Flash Player, Adobe Reader, RealPlayer firmy RealNetworks oraz WinZip.

Wykorzystywane były również exploity dla konkretnych przeglądarek, takich jak Internet Explorer, Firefox, Safari oraz Opera. Kilka zestawów exploitów zwierało jedynie kod umożliwiający ataki wykorzystujące luki w zabezpieczeniach Adobe PDF lub znane błędy w formantach ActiveX.

Złodzieje tożsamości oraz inni twórcy szkodliwego oprogramowania kupują zestawy exploitów i umieszczają je na zainfekowanym serwerze. Następnie w stronach internetowych osadzany jest kod przekierowujący ruch na ten serwer. Użytkowników zachęca się do odwiedzenia takich stron za pomocą spamu rozprzestrzenianego za pośrednictwem poczty elektronicznej lub forów.

Serwer zawierający zestaw exploitów może wykorzystywać nagłówki żądania HTTP z odwiedzin strony za pomocą przeglądarki do określenia typu oraz wersji przeglądarki odwiedzającego, jak również jego systemu operacyjnego. Po zidentyfikowaniu systemu operacyjnego zestaw exploitów może zdecydować, które exploity należy uruchomić.

W niektórych przypadkach wysyłanych jest jednocześnie kilka exploitów, które próbują atakować maszynę poprzez luki w zabezpieczeniach aplikacji innych producentów. Niektóre z bardziej wyrafinowanych zestawów exploitów są utrzymywane i aktualizowane o nowe exploity co miesiąc. Zestawy zawierają interfejs, w którym przechowywane są szczegółowe dane dotyczące udanych ataków. Dane te obejmują takie informacje, jak wersje wykorzystanych systemów operacyjnych, państwo, w jakim znajdował się cel ataku, które z exploitów zostały wykorzystane oraz efektywność exploitów na podstawie ruchu do zainfekowanej strony.
Tabela obok pokazuje różne exploity znajdujące się w jednym zestawie exploitów przechwyconym podczas ataku polegającego na przekierowywaniu z wykorzystaniem JavaScript. Przykład ten pokazuje nie tylko popularność exploitów w oprogramowaniu firmy Microsoft, ale również jednoczesne wykorzystywanie innych programów w celu potencjalnego zwiększenia wartości zestawu exploitów dla cyberprzestępców.

Niezałatana monokultura

Zdaniem Kaspersky Lab epidemia ataków drive-by download w dużej mierze spowodowana jest tym, że użytkownicy nie łatają systemów Windows. Z nielicznymi wyjątkami krążące obecnie exploity wykorzystują znane luki w zabezpieczeniach oprogramowania – takie, dla których dostępne są łaty. Z różnych powodów użytkownicy końcowi nie spieszą się z instalowaniem niezbędnych poprawek dla oprogramowania.