Co to jest atak Drive-By Download i jak to działa?
Branża bezpieczeństwa informacji może czasem być dość dziwnym miejscem, szczególnie jeśli chodzi o terminy i definicje. Istnieje wiele zamieszania i debat nawet wokół tematów, które powinniśmy już bardzo dobrze znać. Tak zwane ataki „drive-by download” nie są wyjątkiem.
Table of Contents
Zamieszanie wokół tego, co jest, a co nie jest atakiem typu drive-by download
Wszyscy zgadzają się co do tego, co faktycznie robi drive-by download. Instaluje na komputerze niechcianą lub wręcz złośliwą aplikację bez Twojej wiedzy i zgody. Od wstrętnych porywaczy przeglądarki po złośliwe oprogramowanie i keyloggery kradnące informacje - prawie każdy podejrzany program pasuje do tego.
Argument wydaje się obracać wokół tego, czy proces jest zautomatyzowany. Niektóre osoby uważają, że atak można sklasyfikować jako „drive-by download”, jeśli nie wymaga absolutnie żadnej interakcji użytkownika. Inni twierdzą, że podejrzane oprogramowanie, które instaluje się wraz z innymi aplikacjami lub jest dostarczane przez podejrzane reklamy, również liczy się jako pobranie z dysku.
Można śmiało powiedzieć, że eksperci ds. Bezpieczeństwa raczej nie osiągną konsensusu w najbliższym czasie, dlatego postaramy się pokazać wszystkie różne scenariusze, w których można użyć terminu „pobieranie z dysku”.
Przemyt podejrzanych aplikacji na Twój komputer
Prawdopodobnie słyszałeś o niebezpieczeństwach związanych z pobieraniem i używaniem pirackiego oprogramowania i narzędzi do łamania zabezpieczeń. Takie postępowanie jest nielegalne, ale nawet jeśli jesteś gotów zignorować ten fakt, powinieneś rozważyć coś innego.
Pobierając aplikację z oficjalnej strony internetowej, skutecznie oświadczasz, że ufasz programistom, którym w większości przypadków jest firma o ugruntowanej pozycji, która ma reputację i biznes, o który należy się martwić. Kiedy pobierasz oprogramowanie z trackera torrentów, ufasz komuś, kto używa pseudonimu, awatara i złej gramatyki.
Jednak pirackie oprogramowanie nie jest jedyną rzeczą, która może dyskretnie pobrać na komputer coś nieprzyjemnego. Czasami aplikacja może wyglądać na legalną i nadal zapewniać nieoczekiwaną infekcję. Niektórzy programiści próbują ukryć dodatkową ładowność z różnym powodzeniem. Instalator może powiedzieć ci o pasku narzędzi przeglądarki, a może nawet dostaniesz pole wyboru, które pozwala ci zrezygnować. W innych przypadkach użytkownik nie zostanie powiadomiony o dodatkowym oprogramowaniu instalowanym na komputerze.
Kliknięcie, huk i tupot
Nie, nie jesteś 10.000 gościem na tej stronie. Nie wygrałeś 1 000 000 $, a jeśli klikniesz to okienko wyskakujące, które wydaje się być zaprojektowane z wersją Microsoft Paint dla Windows 98, tak naprawdę nie zgarniesz żadnych nagród. Najprawdopodobniej pobierzesz i zainstalujesz na komputerze coś, czego nie chcesz.
Powyższy scenariusz jest już dość stary i bardzo niewiele osób może się w nim zakochać. Można jednak powiedzieć, że dzisiejsze podejrzane reklamy są znacznie bardziej wyrafinowane i wiarygodne. To nie tylko reklamy.
Jest rok 2019 i jest bezpieczny z kilkoma wyjątkami, nie musisz instalować Adobe Flash, aby surfować po Internecie. Jeśli wyskakujące okienko mówi Ci inaczej, zastanów się, czy naprawdę musisz znaleźć się w witrynie, którą próbujesz wyświetlić. Wiele osób ma wystarczające doświadczenie, aby to wiedzieć, ale nawet oni mogą zakochać się w nieco bardziej uzasadnionym scenariuszu, który mówi im, że potrzebują na przykład nowego pakietu czcionek.
Jak widać, krajobraz online ewoluuje, a oszuści nie mają innego wyjścia, jak tylko nadążać za duchem czasu. Ustaliliśmy już, że inżynieria społeczna jest jedną z ich najpotężniejszych broni i jasne jest, że nie będą się jej obawiać podczas ataku drive-by download.
Klikanie nie zawsze jest konieczne
Scenariusze, które do tej pory omówiliśmy, wymagają pewnej formy działania w imieniu ofiary. Choć niektóre z nich są sprytne, wszystkie zależą od co najmniej jednego kliknięcia myszy. Jednak w przypadku niektórych ataków typu „drive-by download” nie jest to po prostu potrzebne.
Automatyczne pobieranie drive-by jest najbardziej niszczycielskim atakiem tego rodzaju. Dzięki niemu udana infekcja nie wymaga niczego więcej niż ofiary odwiedzającej zaatakowaną witrynę, na której złośliwy skrypt jest ustawiony na automatyczne uruchamianie pobierania. Jest to niebezpieczne, ponieważ ofiary nie muszą niczego klikać ani zatwierdzać, a zwykle nie mają pojęcia, co się dzieje, dopóki nie jest za późno. Jednak nawet to zależy od jednej lub dwóch rzeczy.
Ten rodzaj pobrań „drive-by” zwykle obejmuje tak zwane zestawy exploitów. Zestaw exploitów to zbiór kodu komputerowego, który może wykorzystywać różne niedociągnięcia w zabezpieczeniach popularnych aplikacji. Różne zestawy exploitów atakują różne luki w różnych aplikacjach. Gdy ofiara trafia na zainfekowaną stronę internetową, złośliwy kod zwykle sprawdza, jakie oprogramowanie jest zainstalowane na komputerze użytkownika, a jeśli znajdzie produkt, z którego może skorzystać, uruchamia pobieranie. Wszystko dzieje się szybko i cicho. Ale czy trudno się oderwać?
Zdobycie zestawu exploitów jest łatwą częścią. Niektóre z nich są dostępne za darmo, a niektóre można kupić na forach hakerskich w zamian za kilka kryptowalut. Oczywiście, aby zasadzić zestaw exploitów, hakerzy muszą skompromitować witrynę internetową, ale ponieważ administratorzy nie zawsze poważnie podchodzą do kwestii bezpieczeństwa, poziom umiejętności komputerowych wymaganych do tego celu nie zawsze jest tak wysoki, jak to możliwe myśleć.
Znalezienie ofiar podatnych na atak drive-by download za pomocą zestawu exploitów również nie jest trudne. Ludzie zwykle używają tej samej przeglądarki, wtyczek i aplikacji, a co najważniejsze, wielu z nich uważa, że aktualizowanie tego oprogramowania jest uciążliwe i nie przynosi żadnych widocznych korzyści.
Popularność pobrań drive-by i jak zachować bezpieczeństwo
Trzeba powiedzieć, że większość cyberataków na dużą skalę, o których czytamy w dzisiejszych czasach, opiera się na wiadomościach spamowych, a nie na pobieraniu danych. Z jakiegoś powodu zestawy exploitów nie są tak popularne, jak kiedyś, a użytkownicy wydają się być bardziej świadomi klikanych reklam i instalowanych aplikacji. Niemniej jednak istnieją ataki typu drive-by download i powinieneś wiedzieć, co możesz zrobić, aby się zabezpieczyć.
Zacznijmy od oprogramowania na twoim komputerze. Nie trzeba dodawać, że nie należy instalować niepotrzebnych aplikacji. Oprócz ochrony przed dość szeroką gamą ataków (w tym pobieraniem typu drive-by download), posiadanie mniejszej liczby nieużywanych programów na komputerze poprawi jego wydajność. Kiedy instalujesz oprogramowanie, upewnij się, że pobierasz je od oficjalnego dostawcy i staraj się uniknąć błędnego przekonania, że instalowanie aplikacji na komputerze nie wymaga niczego więcej niż kliknięcie „Dalej” kilka razy.
Następnie masz reklamy, które widzisz każdego dnia. Internet, jaki znamy, nie byłby taki sam bez reklam. Pomagają utrzymać wiele usług, z których korzystamy na co dzień bezpłatnie. Jednocześnie złośliwe reklamy ułatwiają całkiem sporo oszustw internetowych, a jak już ustaliliśmy, mogą prowadzić do infekcji złośliwym oprogramowaniem. Zastanów się dwa razy, zanim klikniesz dowolną reklamę, bez względu na to, jak kusząca może ona wyglądać.
Last but not least, przeglądaj uważnie. Żadna strona internetowa nie jest odporna na hakerów, ale trzymanie się bardziej znanych portali i społeczności internetowych daje większą szansę na zachowanie bezpieczeństwa.
