Arabayla indirme - Drive-by download

Bir serinin parçası
Bilgi Güvenliği
İlgili güvenlik kategorileri
Otomotiv güvenliği Siber Suç siber seks ticareti bilgisayar dolandırıcılığı Sibergedon Siber terörizm Siber savaş elektronik savaş bilgi savaşı İnternet güvenliği Mobil güvenlik Ağ güvenliği Kopya koruması Dijital haklar yönetimi
tehditler
reklam yazılımı Gelişmiş kalıcı tehdit keyfi kod yürütme arka kapılar Donanım arka kapıları Kod enjeksiyonu suç Siteler arası komut dosyası oluşturma Cryptojacking kötü amaçlı yazılım Botnet'ler Veri ihlali Arabayla indirme tarayıcı yardımcı nesneleri bilgisayar suçu virüsler Veri kazıma hizmet reddi dinleme E-posta dolandırıcılığı E-posta sahtekarlığı İstismarlar Keylogger'lar mantık bombaları saatli bombalar çatal bombalar Zip bombaları Sahte numara çeviriciler kötü amaçlı yazılım yük E-dolandırıcılık polimorfik motor Ayrıcalık yükseltme Fidye yazılımı Rootkit'ler Bootkit'ler korkuluk Kabuk kodu spam Sosyal mühendislik (güvenlik) Ekran kazıma casus yazılım Yazılım hataları Truva atları Donanım Truva Atları Uzaktan erişim truva atları güvenlik açığı Web kabukları silecek solucanlar SQL enjeksiyonu Hileli güvenlik yazılımı Zombi
Savunmalar
Uygulama güvenliği Güvenli kodlama Varsayılan olarak güvenli Tasarımla güvenli Yanlış kullanım durumu Bilgisayar erişim kontrolü kimlik doğrulama Çok faktörlü kimlik doğrulama yetki Bilgisayar güvenlik yazılımı Antivirüs yazılımı Güvenlik odaklı işletim sistemi Veri merkezli güvenlik Kod gizleme şifreleme güvenlik duvarı Saldırı tespit sistemi Ana bilgisayar tabanlı saldırı tespit sistemi (HIDS) Anomali tespiti Güvenlik bilgileri ve olay yönetimi (SIEM) Mobil güvenli ağ geçidi Çalışma zamanı uygulaması kendini koruma
v T e

Sürücü-by indirme aracı iki şey, istenmeyen ilgili her indirme arasında bilgisayar yazılımı gelen Internet :

1. Bir kişinin yetkilendirdiği ancak sonuçlarını anlamadığı indirmeler (örneğin, bilinmeyen veya sahte bir yürütülebilir program , ActiveX bileşeni veya Java uygulaması yükleyen indirmeler ).
2. Herhangi indirme kişinin bilgisi olmadan olur, genellikle bilgisayar virüsü , casus , zararlı yazılım veya suça yönelik yazılım .

Bir web sitesini ziyaret ederken , bir e-posta eki açarken veya bir bağlantıya tıklandığında veya aldatıcı bir açılır pencereye tıklandığında, örneğin bir bilgisayarın işletim sisteminin kendisi onaylanıyor veya görünüşte zararsız bir reklam açılır penceresi reddediliyor. Bu gibi durumlarda, "tedarikçi", kullanıcının aslında istenmeyen veya kötü amaçlı bir yazılım indirmeyi başlattığının farkında olmamasına rağmen, kullanıcının indirmeye "rıza gösterdiğini" iddia edebilir. Benzer şekilde, bir kişi kötü amaçlı içeriğe sahip bir siteyi ziyaret ediyorsa, kişi bir arabadan indirme saldırısının kurbanı olabilir. Diğer bir deyişle, kötü amaçlı içerik , kullanıcının bilgisi olmadan kötü amaçlı kod çalıştırmak için tarayıcıdaki veya eklentilerdeki güvenlik açıklarından yararlanabilir .

Bir sürücü tarafından yükleyin (veya yükleme ) benzer bir olaydır. İndirme yerine kuruluma atıfta bulunur (bazen iki terim birbirinin yerine kullanılır).

İşlem

Bir sürücüden indirme oluştururken, bir saldırganın saldırıyı gerçekleştirmek için önce kötü amaçlı içeriğini oluşturması gerekir. Drive-by indirme saldırılarını gerçekleştirmek için gereken güvenlik açıklarını içeren yararlanma paketlerindeki artışla birlikte, bu saldırıyı gerçekleştirmek için gereken beceri düzeyi düşürüldü.

Bir sonraki adım, saldırganın dağıtmak istediği kötü amaçlı içeriği barındırmaktır. Seçeneklerden biri, saldırganın kötü amaçlı içeriği kendi sunucusunda barındırmasıdır. Ancak, kullanıcıları yeni bir sayfaya yönlendirmenin zorluğu nedeniyle, söz konusu sayfa, güvenliği ihlal edilmiş meşru bir web sitesinde veya saldırganların içeriğini bilmeden üçüncü taraf bir hizmet aracılığıyla (örneğin bir reklam) dağıtan meşru bir web sitesinde de barındırılabilir . İçerik istemci tarafından yüklendiğinde, saldırgan , kodu o istemciye özgü güvenlik açıklarından yararlanacak şekilde uyarlamak için istemcinin parmak izini analiz eder .

Son olarak, saldırgan, arabadan indirme saldırısını başlatmak için gerekli güvenlik açıklarından yararlanır. Drive-by indirmeleri genellikle iki stratejiden birini kullanır. İlk strateji, çeşitli eklentiler için API çağrılarından yararlanmaktır . Örneğin, Sina ActiveX bileşeninin DownloadAndInstall API'si parametrelerini düzgün bir şekilde kontrol etmedi ve internetten rastgele dosyaların indirilmesine ve yürütülmesine izin verdi. İkinci strateji, belleğe kabuk kodu yazmayı ve ardından programın kontrol akışını kabuk koduna yönlendirmek için web tarayıcısındaki veya eklentideki güvenlik açıklarından yararlanmayı içerir. Kabuk kodu yürütüldükten sonra, saldırgan başka kötü niyetli faaliyetler gerçekleştirebilir. Bu genellikle kötü amaçlı yazılımın indirilmesini ve yüklenmesini içerir , ancak saldırgana geri göndermek için bilgi çalmak da dahil olmak üzere herhangi bir şey olabilir.

Saldırgan, saldırı boyunca tespit edilmesini önlemek için de önlemler alabilir. Bir yöntem, kötü amaçlı kodun gizlenmesine güvenmektir . Bu, IFrame'ler kullanılarak yapılabilir . Başka bir yöntem, tespit edilmesini önlemek için kötü amaçlı kodu şifrelemektir. Genellikle saldırgan, kötü niyetli kodu bir şifreli metne şifreler , ardından şifreli metinden sonra şifre çözme yöntemini içerir.

Algılama ve önleme

Drive-by indirme saldırılarının tespiti, aktif bir araştırma alanıdır. Bazı algılama yöntemleri , kullanıcı bir web sayfasını ziyaret ederken kullanıcının bilgisayar sistemindeki durum değişikliklerini izleyen anormallik algılamayı içerir . Bu, bir web sayfası oluşturulduğunda, kullanıcının bilgisayar sisteminin anormal değişiklikler için izlenmesini içerir. Diğer algılama yöntemleri arasında, bir saldırganın açıklarından yararlanarak kötü amaçlı kodun (kabuk kodu) belleğe ne zaman yazıldığını algılama bulunur. Başka bir algılama yöntemi, JavaScript kodunun çalışmasına ve çalışırken davranışını izlemesine izin veren çalışma zamanı ortamları oluşturmaktır . Diğer algılama yöntemleri, kötü amaçlı web sayfalarını tanımlamak için kullanılabilecek özellikleri belirlemek için HTML sayfalarının içeriklerini incelemeyi ve bir sayfanın kötü amaçlı olup olmadığını belirlemek için web sunucularının özelliklerini kullanmayı içerir. Bazı virüsten koruma araçları , gizleme teknikleri nedeniyle çok etkili olmasalar da, kötü amaçlı komut dosyası kalıplarını eşleştirmek için statik imzalar kullanır . Algılama, düşük etkileşimli veya yüksek etkileşimli bal istemcileri kullanılarak da mümkündür .

Ayrıca , Firefox gibi tarayıcılara kolayca eklenebilen NoScript gibi komut dosyası engelleyiciler kullanılarak, arabadan indirmelerin gerçekleşmesi engellenebilir . Böyle bir komut dosyası engelleyici kullanarak, kullanıcı belirli bir web sayfasındaki tüm komut dosyalarını devre dışı bırakabilir ve ardından web sayfası işlevselliği için hangilerinin gerçekten gerekli olduğunu belirlemek için tek tek komut dosyalarını seçerek yeniden etkinleştirebilir. Bu şekilde, kabul edilebilir komut dosyalarının beyaz listesi hızla geliştirilebilir ve bu da diğer web sitelerinde uygun, güvenli ve verimli gezinmeyi kolaylaştırır. Bu tür komut dosyası engelleme ayrıca kullanıcı için zamandan ve bant genişliğinden (dolayısıyla paradan) tasarruf sağlar, çünkü reklam yükleyen (özellikle hedefli reklamlar) ve kullanıcının gizliliğini (izleme ve profil oluşturma yoluyla) istila eden komut dosyaları artık kullanıcı ve kaynakları üzerinde kişisel bir yük oluşturmaz. .

Ayrıca bakınız

• kötü amaçlı reklam
• E-dolandırıcılık
• BIÇAK AĞZI
• Mac Geriye Dönük
• Windows Meta Dosyası güvenlik açığı
• Damlalık (kötü amaçlı yazılım)

Referanslar