Drive-by ke stažení. Web v obležení
zdroj : Kaspersky

Předmluva

Způsobem, že počítačové viry a malware cestování se vyvinula v hodně stejný cesta že informace sama změnila v tom, jak to cestuje. V prvních dnech, byla informace, typicky fyzicky přepravovány z jednoho počítače do druhého pomocí různých paměťových médií. Od brzy 1980, informace cestoval přes drahé privátních datových sítí. Jak americká vláda pod tlakem firemní dodavatelé zajistit určitou konzistentnost, v dopravě a formátu informací, které obdržela, na internetu se objevily do reálného uskutečnění. A spolu s ním přišel schopnost pro podniky všech velikostí pro přenos informací prostřednictvím tohoto "free" sítí, nejčastěji pomocí e-mailu a e-mailové přílohy. Do konce 1990, velmi uveřejněný viry, které se dotyčné podniky i jednotlivci po celém světě následovalo - oni se spoléhali na e-mail pro replikaci a distribuci.

Mezitím, World Wide Web byl rychle zrání do cenná platforma pro výměnu informací, globální obchod a na pracovišti produktivitu. Pomalu, ale jistě, jsme viděli hodnota není e-mail (tlačení) informace pro všechny, kdo by mohl potřebovat, ale pouze zaslání oznámení, že součástí odkaz umožňující uživatelům prohlížet jednu kopii informací přístupných přes web. Dnes, mnoho lidí stále věří, že pomocí webového prohlížeče je podobně jako okno-shopping ", nebo jít do knihovny ve fyzickém světě - nic se neděje bez vědomí osoby. (To je to, co slovo "prohlížeč" znamená, že?). Hodně z toho, co se děje v zákulisí prostě uniká jim, protože oni dělají ne vlastně vidět, co se děje. Nicméně, množství sofistikované, za-the-scenes komunikaci, která nastane, když webové prohlížeče klidně pracovat s daty uloženými na PC, s desktopovými aplikacemi, a s webovými servery by ohromit nejen většina domácích uživatelů, ale rovněž nejvíce (non-IT ), firemní odborníky, pokud to opravdu pochopil.

Bohužel, tato zralost a rafinovanost přilákala pozornost dobře-organizovaný malware dodavatelé, kteří jsou nyní záměr na využití webu, aby předložily své viry, spyware, trojské koně, boty, rootkity, a falešný bezpečnostní software. Anti-virus průmyslu se odkazuje na toto skryté stahování malware, který se vyskytuje na webové stránky, aniž by povědomí uživatelů, jako "drive-by download." V tomto dokumentu se budeme zabývat, co se skutečně děje během drive-by útok, návnady používané k páchání útoků, technologie za útoky, a použití drive-by download útoky v osobním krádeží dat a počítačových převzetí.

Obsah

Porozumění exploze

Before budeme zkoumat drive-by ke stažení ve více detailu, to je užitečné pochopit, jak se tento typ útoku vybuchla v posledních letech. To je také užitečné vědět, že stejný malware (viry, spyware, trojské koně, boty, rootkity, a falešný bezpečnostní software) je možné, a často je dodáván v různých způsobech - někdy prostřednictvím e-mailu, někdy při návštěvě webové stránky, někdy jinými metodami.

Pohon malware dodávky je zvýšené odvolání cybercriminals prostě proto, že je obecně více plíživé podobě infekce, která vyústí v další úspěšné útoky. Obrázek 1 ukazuje data z ScanSafe, společnost, která sleduje on-line hrozbami malware, a ilustruje, jak má dopad na podniky přesunula z e-mailu na webu a chatu v průběhu desetiletí počátku v roce 1996.


Obrázek 1 - Rozvíjející Metody Malware dodání

Podle novějších údajů z ScanSafe, 74 procent všech malware spatřen ve třetím čtvrtletí roku 2008 přišel z návštěvy nedůvěryhodné weby.

Nyní, když chápete rostoucí rozsah tohoto problému, budeme vysvětlovat, jak útoky práce, použité metody lákat cíle zmanipulované weby, sofistikované využití sady a aplikace, které cíl, komplikované bludiště Web přesměrování a užitečná zatížení používaný k provádění krádeží identity a útoky počítačových převzetí.

Útoky prohlížeče

Chcete-li plně pochopit dramatický posun pomocí webového prohlížeče jako útok nástroj, je vhodné se vrátit k historii větších Internet-založené počítačové útoky. Během "éry internetových červů," když útoky jako Code Red, Blaster, Sasser Slammer a způsobil zmatek na podnikových sítích, hackeři používají dálkový využívá zranitelnosti operačního systému Windows proti systému. (Vzdálené zneužití je jeden ve kterém malware umístěna v síti-připojený server, využije legitimní kódu na počítači uživatele, ale nevyžaduje předchozí přístup k počítači uživatele, aby tuto chybu zabezpečení zneužít v kódu.) Škodlivý spustitelné soubory, například jako Melissa, byl také připojen k e-mailu nebo přiletěli přes instant messaging, nebo peer-to-peer aplikací.

Microsoft reagoval na útoky červa v pozitivním způsobem. Oni přidali firewall, který je ve výchozím nastavení zapnuta ve Windows XP SP2, a provedla několik anti-červ zmírnění mechanismy v operačním systému. Automatické aktualizace systému Windows povolena, koncoví uživatelé dostali nějakou pomoc s pravidelně uplatnění opravy operačního systému. Podnikům a spotřebitelům také dostal chytřejší o blokování příloh, nebo ne kliknutím na podivné spustitelné soubory. Oba faktory nuceni útočníky k posunu taktiku, pohybující se až do fronty k cíli třetího-party aplikací a dokonalé umění sociálního inženýrství.

Tento vývoj také řídil vznik kradmý nové techniky - drive-by download - který používá prohlížeč jako mechanismus pro připojení uživatele počítače na servery vybaveny škodlivé exploity. V drive-by útok, je škodlivý program automaticky stáhne do počítače bez vašeho souhlasu, nebo dokonce vaše znalosti.Útok vlastně probíhá ve dvou krocích. Uživatel surfuje na webu, která byla vybavena kódem, který následně přesměruje připojení ke škodlivému Third-Party server hosting využije. Obrázek 2 z Google Anti-Malware tým, ukazuje základní strukturu drive-by download útoku. Tyto exploity se mohou zaměřit zranitelnosti ve webovém prohlížeči, unpatched plug-in prohlížeče, zranitelné ovládacího prvku ActiveX nebo jakékoli jiné třetí straně nedostatky software.

 
Obrázek 2 - Struktura drive-by download Attack

Jak ukazuje obrázek, může být libovolný počet přesměrování na různých místech, než využít je vlastně stáhli.

Podle údajů od společnosti Kaspersky Lab a jiní v oboru zabezpečení, jsme ve středu ve velkém měřítku drive-by download epidemie. Přes posledních deseti-měsíční období, Google Anti-Malware tým plazila miliardy stránek na webu hledat nebezpečné činnosti a našel více než tři miliony adres URL zahájení drive-by malware ke stažení.

"Ještě více znepokojující je zjištění, že zhruba 1,3 procenta z příchozí vyhledávacích dotazů na vyhledávači Google se vrátil alespoň jedno URL označen jako nebezpečný ve stránce s výsledky," podle studie vydané společností Google. Obr. 3, převzato z této studie odhaluje alarmující trend vyskytující se v procentech hledání s infikovaným místě během sledovaného období.


Obrázek 3 - výsledky hledání obsahující škodlivý URL

V prvních dnech drive-by downloads, útočníci obvykle vznikají škodlivé weby a používá sociální inženýrství láká přilákat návštěvníky. Toto je i nadále hlavním zdrojem škodlivých aktivit na internetu, ale v poslední době hackeři ohrožena legitimních webových stránek, a to buď tajně využít skript nebo osázené přesměrovat kód, který tiše zahajuje útoky prostřednictvím prohlížeče.

Anatomie Drive-by Attack

Jeden vysoce-profilovat webu kompromis v roce 2007, poskytuje pohled na to, jak drive-by ke stažení jsou zahájeny proti počítači uživatele. V týdnech vést ke hře NFL Superbowl, byl Dolphin Stadium v ​​Miami místo pronikl a vybaveny fragment kódu JavaScript. (Viz obrázek 4).

 
Obrázek 4 - JavaScript kód použitý na Miami stránkách Dolphin Stadium

Návštěvník, který místo s neaktualizované počítače s Windows byl tiše připojen ke vzdálené třetí osobě, které se pokusily využít známé chyby zabezpečení popsané v bulletinu MS06-014 a MS07-004 společnosti Microsoft bulletinů zabezpečení. Pokud zneužít byl úspěšný, Trojan byl tiše nainstalovány, který dal útočník plný přístup k ohrožení počítače. Útočník by mohl později využít ohrožení počítače s cílem ukrást důvěrné informace nebo zahájit DoS útoky.

Později v roce 2007, vysoce-dopravní "Bank of India" webu byl unesen hackeři v sofistikované útok, který používá více přesměruje poslat uživatele Windows, aby server hosting e-mailový červ soubor, dva stealth rootkity, dva Trojan stahovači, a tři backdoor trojské koně. Bank of India kompromisu kombinovanéJavaScript zmatek , více iFrame přesměrování chmele, a fast-flux techniky se vyhnout detekci a udržet škodlivých serverů online během útoku. Obrázek 5 ukazuje snímek ohrožena Bank of India místo s škodlivý skript slouží ke spuštění drive-by download útoku.

 
Obrázek 5 - Bank of India stránek a škodlivý skript

To jsou jen dva příklady upozornit na rozsah problému na legitimních webových stránek. Ve svém sledování on-line hrozbami malware, ScanSafe oznámil, že do poloviny roku 2008, byla většina malwaru je k dispozici na legitimní stránky. Zajímavé upozorní na od 3Q08 zprávy ScanSafe jsou -

  • Objem Web-založený malware zvýšené 338 procent v porovnání s 3Q08 1Q08 a 553 procent ve srovnání s 4Q07.

  • Přibližně 31 procent ze všech hrozeb, škodlivého kódu v září 2008 byly zero-day malware hrozby.(Zero-day hrozbu, pro nějž žádný patch neexistuje.)

  • Riziko backdoory a trojské koně krást hesla zvýšené 267 procent v září 2008 oproti lednu 2008.

Útočníci také je známo, že používal otrávené třetí-party reklamních serverů přesměrovat uživatele Windows, aby nepoctiví servery, které jsou hostiteli drive-by ke stažení. Tyto nebezpečné reklamy (malvertisements) jsou typicky Flash-based a využívat unpatched desktopových aplikací.

Exploit soupravy

Malware využívat soupravy slouží jako motor pro pohon-by downloads. Tyto sestavy jsou odborně písemné softwarové komponenty, které mohou být umístěn na serveru s databází backend. Sestavy, které se prodávají na podzemní hacker stránky, jsou vybaveny využívá zranitelnosti v řadě široce dislokovaný desktopových aplikací, včetně QuickTime firmy Apple multimediální přehrávač Adobe Flash Player, Adobe Reader, RealNetworks 'RealPlayer, a WinZip.

Zloději identity a dalších autorů malwaru využívají nákupu souprav a nasadit je na nebezpečný server.

Prohlížeče-specifické využije také byly použité, zaměřených na Microsoft Internet Explorer, Mozilla Firefox, Apple Safari a Opera. Několik cílených využívat soupravy jsou vybaveny pouze s útokem kód pro Adobe PDF chyby nebo známé chyby v ovládacích prvků ActiveX.

Zloději identity a dalších autorů malwaru využívají nákupu souprav a nasadit je na nebezpečný server.Kód přesměrovat provoz na server, že škodlivý je pak vložený na webových stránkách, a láká na těchto stránkách jsou nevyžádaná obchodní sdělení prostřednictvím e-mailu nebo nástěnky.

Zneužít kit server lze použít hlavičky HTTP požadavku z prohlížeče návštěvu k určení návštěvníka typ a verze prohlížeče, stejně jako základní operační systém. Jakmile je cílový operační systém je snímány otisky prstů, využívat kit lze určit, které využívá ke střelbě.

V některých případech může být několik zneužívá být zaslány současně, pokoušet se kompromis stroje přes třetí stranou-aplikační zranitelnosti. Některé z sofistikovanější využití souprav jsou dobře udržovány a aktualizovány s software využívá na měsíční bázi. Sestavy jsou dodávány s i-navrženy uživatelské rozhraní, které ukládá podrobné údaje o úspěšných útoků. Data mohou být v rozsahu od operačního systému využity verze cílové zemi původu, které využívají byl použit, a účinnost využije na provoz na škodlivé stránky.

Obrázek 6 ukazuje různé využívá obsažených v jediném využívat kit zachytil během JavaScript přesměrování útoku. Tento příklad ilustruje popularitu využije v softwaru společnosti Microsoft, ale také pomáhá objasnit, jak je jiný software současně využito k potenciálně zvýšit hodnotu využít sady do osobního počítače.

Využít

Microsoft Bulletin (pokud existuje)

MDAC vzdálené spuštění kódu

MS06-014

ShockwaveFlash.ShockwaveFlash.9 využít

 

WebViewFolderIcon setSlice () využít

MS06-057

Msdds.dll využít

MS05-052

Microsoft Works využít

MS08-052

Creative Software AutoUpdate Motor využít

 

Online Media Technologies NCTsoft NCTAudioFile2 ActiveX přetečení vyrovnávací paměti

 

Ourgame GLWorld GLIEDown2.dll využít

 

DirectAnimation.PathControl přetečení vyrovnávací paměti

MS06-067

Obrázek 6 - Obsah současnost v jednotném Exploit Kit

Unpatched Monokultura

Drive-by download epidemie je z velké části připsat unpatched stavu ekosystému Windows. S několika málo výjimkami, využívá v oběhu zranitelnosti cílové software, které jsou známé - a pro které záplaty jsou k dispozici. Nicméně, z různých důvodů, koncoví uživatelé jsou pomalé použít potřebný software opravy.

S několika málo výjimkami, využívá v oběhu zranitelnosti cílové software, které jsou známé - a pro které záplaty jsou k dispozici.

Microsoft Automatické aktualizace mechanismus nabízí koncovým uživatelům cenný způsob, jak udržet operačního systému chyby záplatované, ale to samé se nedá říci pro třetí-party desktopových aplikací.Secunia, společnost, která sleduje zranitelnosti softwaru, odhaduje, že o jednom-třetina všech nasazených desktopových aplikací, jsou náchylné k známé (záplatované) bezpečnostní problém.

Při pohledu na stávající využití sestavy, vidíme několik starých chyb, jako například MS06-014 a MS05-052, které zůstaly v oběhu po celá léta poté, co byly k dispozici oprava. (Třetí a čtvrtý znaky označují rok bulletin byl vydán.) Cílená využívat balení obsahující pouze nedostatky v Adobe PDF Reader byly velmi úspěšné i přes zlepšení bezpečnosti Adobe odpověď procesu. Adobe Flash Player, která má téměř 100 procent penetrace na internetu-vybavenými počítači, je další velký cíl, jako je RealNetworks 'RealPlayer.

Závěr: Vyhnout Útoky

Na závěr je třeba poznamenat, že většina moderních webových prohlížečů - včetně Internet Explorer, Firefox a Opera - přidali anti-malware blokátory, které poskytují včasné varování-li uživatelé pokusí surfovat na webu zmanipulované. Tyto blokátory poskytují dobrou cenu, ale proto, že jsou blacklist-umístěný, neposkytují 100 procent ochranu internetových surfařů.

Nejpraktičtější přístup k obraně proti drive-by ke stažení je věnovat pozornost složka patch management obrany. Konkrétně by uživatelé -

  • Použít patch management řešení, které pomáhá s hledáním - a upevňovací - všechny třetí strany aplikace desktopu. Secunia nabízí dva nástroje - Personal Software Inspector a bezpečnost sítí Inspector -, které mohou pomoci identifikovat unpatched aplikací.

  • Použití prohlížeče na stolním počítači, který obsahuje anti-phishing a anti-malware blokátory.Microsoft Internet Explorer, Mozilla Firefox, Opera a všechny poskytují bezpečnostní funkce blokovat škodlivé weby.

  • Povolit firewall a uplatnit všechna Microsoft aktualizace operačního systému. Vyhněte se použití pirátského softwaru, který má své aktualizace vypnuté přes WGA.

  • Nainstalujte anti-virus/anti-malware software a mít jistotu, aby jeho databáze aktualizována. Ujistěte se, že anti-virus je poskytovatel pomocí prohlížeče provozu skener pomoci určit možné problémy z drive-by ke stažení.

Tyto kroky směrem k řízení zranitelnosti i nadále nabízet co největší, nejcennější ochrana proti drive-by download útoky.