Che cos’è e come funziona un attacco drive-by download

Che cos’è e come funziona un attacco drive-by download

Drive-by download hanno come bersaglio il Web browser della vittima. Sfruttando una vulnerabilità nell’applicazione, un drive-by download è in grado di scaricare codice dannoso dal web e successivamente eseguirlo sulla macchina della vittima. Ciò avviene di solito senza ulteriore interazione con l’utente.

Che cos'è e come funziona un attacco drive-by download

Diversamente, per sfruttare le vulnerabilità nei servizi di rete in cui gli schemi di infezione push-based sono dominanti. I download drive-by seguono uno schema pull-based. Cioè, le connessioni vengono avviate dal cliente quando sta richiedendo contenuti dannosi. Pertanto, i firewall che proteggono i servizi di rete da accessi non autorizzati non possono mitigare la minaccia di attacchi drive-by.

Attualmente, si osservano le seguenti due tecniche, che potrebbero portare a infezioni drive-by.

Abuso di API

Se una certa API permette di scaricare un file arbitrario da Internet, e un’altra API fornisce la funzionalità di esecuzione di un file casuale su una macchina locale, la combinazione di questi due API può portare ad una infezione drive-by. L’utilizzo diffuso di browser plug-in di solito dà agli attaccanti un enorme portafoglio di API che si potrebbero utilizzare e combinare per i loro scopi malvagi in modi non previsti.

Sfruttamento delle Vulnerabilità del Browser

Questo vettore di attacco è identico al caso dei servizi di rete sfruttabili. Inoltre, la disponibilità di linguaggi di scripting lato client, come Javascript o VBScript, forniscono all’attaccante mezzi supplementari per lanciare con successo un attacco. Prima che accada un drive-by download può avvenire che un utente debba visitare un sito maligno. Al fine di attirare l’utente a visitare il sito dannoso, gli attaccanti eseguono ingegneria sociale inviando e-mail di spam che contengono link a questi siti o infettano pagine web esistenti con il codice maligno. Ad esempio, una tempesta di worm si avvale delle proprie risorse della botnet per inviare mail di spam contenenti link a tali pagine di attacco.

Per massimizzare il numero di siti che ospitano tali attacchi drive-by, gli aggressori sfruttano vulnerabilità nelle applicazioni web che permettono loro di man polare questi siti web. Esempio di attacco è quello avvenuto nel 2008 al sito dell’Ambasciata dei Paesi Bassi in Russia, in cui gli attaccanti utilizzano un vettore di infezione dei servizi di rete vulnerabili per lanciare attacchi download drive-by contro i clienti di tale servizio.

Ingannare gli algoritmi di ranking

Un’altra tecnica utilizzata dagli attaccanti per attirare gli utenti ai loro siti web è quella di cercare di ingannare gli algoritmi di ranking dei motori di ricerca del Web utilizzati per ordinare le pagine dei risultati. Un utente malintenzionato potrebbe creare una pagina che è specificamente resa di rango elevato per i termini di query di ricerca comune.

Bisogna notare, infine, che se la pagina è quotata su una posizione di vertice per questi termini di ricerca, questo si tradurrà in un gran numero di visitatori. È stato scoperto inoltre che più del 1,3% dei risultati alle query di ricerca di Google includono almeno una pagina che cerca di installare software dannoso sul computer di un visitatore.

Pubblicato da Vito Lavecchia

Lavecchia Vito Ingegnere Informatico (Politecnico di Bari) Email: [email protected] Sito Web: www.vitolavecchia.altervista.org

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *