Ce este atacul de tip drive-by download si cum ne putem apara de el

Atacurile de tip drive-by download se refera la programe malitioase care se instaleaza pe calculatorul victimei fara consintamantul acesteia. Aceste atacuri includ si descarcarile neintentioate de fisiere si software-ul care vine “la pachet” cu un altul. Spre deosebire de alte forme de malware, drive-by download nu necesita vreo forma de interactiune din partea victimei. Aceasta nu trebuie sa dea click pe nimic, sa deschida vreun fisier malitios anexat unui email sau sa descarce ceva anume pentru a se infecta. Un atac drive-by download poate sa exploateze o vulnerabilitate din codul unei aplicatii, a unui sistem de operare sau a unui browser web. Obiectivele unui atac drive-by download pica de obicei intr-una din urmatoarele categorii:

  • compromiterea dispozitivului cu scopul de a-l include intr-o retea de tip botnet sau de a infecta alte dispozitive vulnerabile din aceeasi retea
  • spionarea utilizatorului pentru a-i fura credentialele, date bancare sau informatii personale
  • distrugerea dispozitivului si a datelor de pe acesta

Cel mai adesea, download-urile malitioase de tip drive-by infecteaza sistemul victimei intr-un mod complet neautorizat si fara vreo notificare pentru user, chiar si atunci cand acesta acceseaza doar site-uri autorizate si legitime. Mecanica atacului este dupa cum urmeaza:

  1. Hacker-ul reuseste sa compromita un server web prin exploatarea unei slabiciuni de securitate si sa injecteze cod malitios in site-ul web
  2. Victima declanseaza codul malitios prin vizitarea paginii, iar acesta scaneaza sistemul victimei pentru vulnerabilitati
  3. Codul injectat de hacker descarca malware pe sistemul victimei, profitand de vulnerabilitatea acestuia
  4. Malware-ul isi indeplineste obiective dictate de hacker

Cel mai frecvent serverele web pot fi compromise de hackeri folosind exploit kit-uri. Aceste kit-uri sunt mici bucati de software folosite pentru a identifica punctele slabe ale unui server sau browser si pentru a comunica cu un server de CnC (Command and Control) de unde sa descarce malware aditional. Vulnerabilitatile din software descoperite de un exploit kit sunt de neevitat. In era digitala in care traim orice software si hardware are vulnerabilitati. Acestea pot fi:

  • necunoscute de dezvoltatori si pentru care nu exista o rezolvare sau un workaround imediat
  • cunoscute, dar care inca pot fi exploatate pentru ca sistemul nu este patch-uit corespunzator sau se amana aplicarea patch-ului, lucru care mareste fereastra de timp in care sistemul poate fi compromis.

Site-urile web sunt prima linie de aparare dintre hacker si victima, asa ca cei care detin aceste site-uri trebui sa ia urmatoarele masuri de securitate:

  • mentinerea la zi a tututor componentelor site-ului: teme, plugin-uri, addon-uri, server si orice altceva tine de infrastructura
  • Eliminarea componentelor nefolosite si invechite care pot fi o portita de intrare pentru atacatori
  • folosirea parolelor puternice pentru conturile de admin: passphrase-uri si un manager de parole ar fi si mai bine
  • folosirea unui software de securitate web pentru a monitoriza orice activitate suspecta in zona de backend (cea in care se afla codul functional care poate fi alterat)

Utilizatorul trebuie sa fie si el responsabil de propria securitate si:

  • sa isi tina sistemul de operare si browserul la zi cu toate patch-urile de securitate instalate imediat ce sunt facute disponibile de producator
  • sa foloseasca un cont normal de utilizator pentru activitatile zilnice si doar la nevoie sa foloseasca credentialele de administrator. Programele malitioase au nevoie de privilegii de admin pentru a se instala si pentru a se executa
  • sa evite vizitarea site-urilor suspecte, de obicei cele care ofera continut pentru adulti sau cele de file share, intrucat acestea hosteaza frecvent malware
  • sa foloseasca un program de blocare al reclamelor, adblocker. Atacurile drive-by download folosesc adesea reclamele online ca vector de propagare al malware-ului (adware).
  • sa utilizeze o solutie de antivirus, de antimalware sau de endpoint protection cu semnaturile la zi si pentru a bloca amenintarile cunoscute si cu o componenta euristica de analiza comportamentala pentru a recunoaste si bloca amenintarile de tip “zero day”
  • sa instaleaze software numai din surse autorizate, evitand software-uri piratate, crack-uri sau keygen-uri

Din cauza naturii sale, atacul de tip drive-by download este unul dintre atacurile cel mai greu de identificat. Utilizatorul poate fi infectat chiar si la simpla vizitare a unui site legitim, sursa infectiei fiind greu de identificat ulterior. Masurile corespunzatoare de protectie trebuie sa fie implementate la ambele capete ale conexiunii web: atat pe serverul web, cat si pe sistemul utilizatorului. Doar printr-un efort comun facut de ambele parti se poate obtine securitatea dorita.

Mihai Dumitrascu, Sr Systems Engineer