24.07.2016, 21:04
![[Obrazek: harmful-web-site-blocked.png?w=766&h=440&crop=1]](https://safeandsavvypl.files.wordpress.com/2016/07/harmful-web-site-blocked.png?w=766&h=440&crop=1)
Ataki typu drive-by download, czyli instalacje oprogramowania bez wiedzy użytkownika, to jedno z budzących największy lęk zagrożeń w internecie. Narzędziem wykorzystywanym do tych ataków są
[Aby zobaczyć linki, zarejestruj się tutaj]
. Badają one środowisko przeglądarki – typ i wersję przeglądarki, zainstalowane wtyczki i wersje wtyczek – aby znaleźć oprogramowanie podatne na atak.Jeśli pakiet exploitów znajdzie luki w zabezpieczeniach, wykorzystuje je do bezpośredniego uruchomienia kodu w systemie. W większości przypadków prowadzi to do instalacji złośliwego oprogramowania bez żadnej interakcji z użytkownikiem. W najgorszym scenariuszu kilka minut później na ekranie pojawia się instrukcja, jak zapłacić napastnikowi za przywrócenie świeżo zaszyfrowanych plików do pierwotnego stanu.
Pakiety exploitów mogą czaić się w różnych zakątkach internetu. Oto kilka przykładów.
Złośliwe domeny
Istnieje wiele wątpliwych witryn, na które można się natknąć podczas przeglądania sieci. Przykładem mogą być nielegalne serwisy udostępniania plików, strony z torrentami i witryny pornograficzne. Niektóre z tych witryn bezpośrednio przechowują pakiety exploitów.
Możesz też trafić do złośliwych witryn poprzez kliknięcie łącza w postach lub komentarzach na forach, blogach i stronach społecznościowych, a także w otrzymanych wiadomościach e-mail. Bez względu to, jak znajdziesz się na jednej z tych stron, ryzykujesz, że Twój system padnie łupem napastnika.
Złośliwe reklamy
Na większości stron internetowych wyświetlane są reklamy, w wielu przypadkach rozpowszechniane przez agencje reklamowe. Możesz trafić na
[Aby zobaczyć linki, zarejestruj się tutaj]
, kiedy napastnik przekaże ją do jednej z takich agencji. Aby prowadzić skuteczne kampanie, napastnicy posługujący się złośliwymi reklamami korzystają z usług bardziej popularnych agencji, które zamieszczają reklamy w bardziej popularnych witrynach. Ta tania i skuteczna metoda zapewnia napastnikom szeroko wykorzystywaną platformę do dystrybucji złośliwej treści. Obserwujemy to dość regularnie.Złośliwe reklamy to szczególnie podstępny wektor infekcji. Napastnicy nie muszą nakłaniać ofiar do zmiany zwykłych nawyków, żeby zainfekować ich systemy. Kiedy złośliwa reklama trafi na platformę reklamową, będzie automatycznie pokazywana w szerokiej gamie popularnych witryn. Gdy więc użytkownik następnym razem zajrzy do swojego ulubionego portalu informacyjnego, wizyta może skończyć się infekcją jego systemu, choć samą witrynę zasadniczo uważa się za bezpieczną. W dodatku nie musi nawet klikać reklamy, żeby ulec infekcji.
Nawiasem mówiąc, złośliwe reklamy pojawiają się nie tylko w witrynach internetowych. Niedawno
[Aby zobaczyć linki, zarejestruj się tutaj]
, w którym użyto reklam Skype’a do dostarczania złośliwej treści z wykorzystaniem tego samego mechanizmu.Zwykłe witryny przejęte przez napastników
Hakerzy włamują się do legalnych witryn. Bardzo często. W rzeczywistości większość exploitów znajduje się w zhakowanych serwerach, które nie zostały „wyczyszczone”.
Napastnicy atakują legalne witryny, kiedy ktoś znajdzie nową lukę w zabezpieczeniach usług internetowych (takich jak Apache lub WordPress). Często natychmiast po odkryciu nowej luki rozpoczyna się wyścig do przejęcia wszystkich dostępnych celów w internecie, a cały ten proces jest w dużej mierze zautomatyzowany.
[Aby zobaczyć linki, zarejestruj się tutaj]
, co nie dziwi, zważywszy na to, jak łatwo jest zdobyć nazwiska autorów blogów.Naturalnie, w zhakowanych w ten sposób witrynach umieszczane są pakiety exploitów, a dalszy ciąg tej historii jest Ci już dobrze znany.
Prawdopodobnie uświadomiłeś już sobie, że higieniczne praktyki przeglądania sieci nie uchronią Cię przed atakami typu drive-by download. Właśnie dlatego wszystkie nowoczesne rozwiązania do ochrony punktów końcowych zawierają komponenty do blokowania adresów URL i skanowania sieci. Jeśli strona albo jej komponent nie zostaną wyświetlone w przeglądarce, to nie zostanie uruchomiony pakiet exploitów. Oczywiście, nie muszę przypominać, że regularne aktualizowanie oprogramowania w systemie bardzo pomaga bronić się przed takimi atakami.
Krajobraz złośliwych adresów URL zmienia się błyskawicznie, dlatego wyszukiwania w chmurze to najlepszy sposób, żeby nadążyć za tymi zmianami. Prosta kwerenda chmurowa na znormalizowanej wersji żądanego adresu URL, tuż przed jego odwiedzeniem, pozwala dowiedzieć się, czy witryna jest bezpieczna. Uzyskany werdykt może też zawierać inne informacje; oprócz wskazywania, czy witryna jest złośliwa, może też informować, jaki rodzaj treści się w niej znajduje. Przydaje się to do filtrowania treści, na przykład do kontroli rodzicielskiej.
Jeśli widzisz coś takiego, prawdopodobnie kliknąłeś coś, czego nie chciałeś kliknąć.
W laboratoriach F-Secure mamy wiele źródeł uzupełniających i odświeżających nasze repozytoria adresów URL. Kiedy liczyliśmy ostatnio, było ich ponad 70. Otrzymujemy ponad 500 000 nowych adresów URL dziennie. Niektóre pochodzą z „honeypotów” i pułapek na spam, inne ze statycznej lub dynamicznej analizy malware’u. Wprowadzając potencjalnie złośliwe adresy do naszych zautomatyzowanych „piaskownic”, możemy sprawdzić, co się stanie z maszyną wirtualną, i odpowiednio sklasyfikować witrynę. Mamy też systemy eksperckie, które automatyzują klasyfikowanie treści.
Nasze systemy prawdopodobnie zginęłyby pod lawiną miliardów wpisów, gdybyśmy przechowywali klasyfikację każdej możliwej ścieżki URL. Aby temu zapobiec, złożona logika automatyzacji decyduje, czy sklasyfikować całą domenę, czy pojedyncze katalogi. Używamy też informacji whois do klasyfikowania całych domen.
Oprócz prostej taktyki sprawdzania adresów URL w chmurze, używamy kilku innych sztuczek, żeby chronić klientów przed złośliwymi witrynami. Przeprowadzając analizę heurystyczną ruchu do adresu URL, możemy wychwycić pewne typy złośliwych zachowań. Nasze komponenty ochronne badają również treść, nagłówki i metadane adresu URL i podejmują decyzje na podstawie tych informacji.
Blokowanie dostępu do adresów URL uniemożliwia też malware’owi komunikację z serwerami dowodzenia (C&C).
Jak wspomniałem w
[Aby zobaczyć linki, zarejestruj się tutaj]
z tej serii, zapobieganie kontaktowi użytkownika ze złośliwą witryną jest pierwszą linią obrony przed rzeczywistymi zagrożeniami. A w obliczu zagrożenia atakiem drive-by download jest to ważny pierwszy krok. Kiedy więc następnym razem zobaczysz wyskakujące okno w rogu ekranu tuż po kliknięciu łącza, będziesz zadowolony, że nie padłeś ofiarą paskudnego trojana, który pobiera oprogramowanie wymuszające okup.Źródło: F-Secure
Trochę szkoda, bo ten sposób wspomagania wykrywalności szkodliwych danych (pliki/strony) jest tyle samo przydatny i skuteczny, co i zupełnie bezwartościowy i od lat ma swoich zagorzałych zwolenników, jak i krytyków.