路过式下载

路过式下载(Drive-by download)是对互联网上的一种行为的描述,一般表现为:

  1. 任何不希望用户知晓的下载行为
  2. 在用户不知道的情况下下载间谍软件计算机病毒或者任何恶意软件。路过式下载可能发生在用户访问一个网站、阅读一封电子邮件、或者点击一个欺骗性弹出式窗口的时候[1]。例如,用户误以为这个弹出式窗口是自己的计算机提示错误的窗口或者以为这是一个正常的弹出式广告,因此点击了这个窗口。[2]

路过式安装是一个类似的手段,它是指使一个用户在不知情的情况下安装软体(虽然有时候这两个术语是可以互换的)。

过程

在制造一个路过式下载时,攻击者必须先制作好他们的恶意内容来进行攻击,由于有越来越多供骇客使用的漏洞工具包(Exploit pack)都拥有进行路过式下载所需的漏洞,路过式下载所需的技术层级已经降低了许多。[3]

下一步是寄生其他电脑并使其成为攻击者想散布的恶意内容的来源,攻击者可以在自己的伺服器上放置恶意内容,但由于将用户导向至新的页面的困难度,通常攻击者也会寻找一些网站与其合伙来散布恶意内容,或是透过入侵网路广告等手法来使更多不知情的网站帮忙散布内容,当用户执行恶意内容的时候,攻击者就会透过分析装置指纹为每一个用户订制不同的攻击手法。[4]

最后,一个路过式下载通常会进行下列两种行为的中的一个,第一种是利用应用程式介面安装各种外挂程式。例如ActiveX的下载及安装API没有妥善检查它的参数,并允许了下载和执行来自网路上的任意档案。第二种则是先编写Shellcode到记忆体,然后利用浏览器或是插件的漏洞执行Shellcode[4],当Shellcode被执行之后攻击者就可以进行下一步的恶意行为,像是下载恶意软体或是窃取资料。[3]

侦测方法

参见

参考文献

  1. ^ Olsen, Stefanie. Web surfers brace for pop-up downloads. CNET News. 8 April 2002 [28 October 2010]. (原始内容存档于2014-10-22). 
  2. ^ Exploit on Amnesty pages tricks AV software. The H online. Heinz Heise. 20 April 2011 [8 January 2011]. (原始内容存档于2021-02-25). 
  3. ^ 3.0 3.1 Le, Van Lam; Welch, Ian; Gao, Xiaoying; Komisarczuk, Peter. Anatomy of Drive-by Download Attack. Proceedings of the Eleventh Australasian Information Security Conference - Volume 138. AISC '13 (Darlinghurst, Australia, Australia: Australian Computer Society, Inc.). 2013-01-01: 49–58. ISBN 9781921770234. 
  4. ^ 4.0 4.1 Egele, Manuel; Kirda, Engin; Kruegel, Christopher. Mitigating Drive-By Download Attacks: Challenges and Open Problems. iNetSec 2009 – Open Research Problems in Network Security. IFIP Advances in Information and Communication Technology 309. Springer Berlin Heidelberg. 2009-01-01: 52–62. ISBN 978-3-642-05436-5. doi:10.1007/978-3-642-05437-2_5 (英语).