Na czym polega atak drive-by download?

Przeczytaj także: Cyberprzestępcy a luki w oprogramowaniu

Sieć World Wide Web od momentu powstania szybko przekształciła się w nieocenioną platformę służącą do wymiany informacji, ułatwiającą globalny handel i zwiększającą produktywność pracowników. Dzisiaj wiele osób nadal uważa, że używanie przeglądarki internetowej to to samo co oglądanie wystaw sklepowych lub pójście do biblioteki w fizycznym świecie – bez wiedzy osoby zainteresowanej nic się nie może stać. W rzeczywistości umyka im wiele rzeczy, które dzieją się „za kulisami”, ponieważ są one dla nich niewidoczne. Jednak większość użytkowników indywidualnych oraz ekspertów korporacyjnych (spoza branży IT) byłaby zaskoczona intensywnością tej “zakulisowej” komunikacji, zachodzącej podczas cichej interakcji przeglądarek internetowych z danymi przechowywanymi na komputerach PC, aplikacjami oraz serwerami sieciowymi.

Niestety, jak czytamy w artykule, tę „złożoność” zaczęły wykorzystywać również dobrze zorganizowane grupy zajmujące się rozprzestrzenianiem szkodliwego oprogramowania, które obecnie dostarczają swoje wirusy, programy spyware, trojany, boty, rootkity oraz fałszywe programy bezpieczeństwa głównie za pośrednictwem Sieci. W branży antywirusowej tego rodzaju ukryte pobieranie szkodliwych programów ze stron internetowych bez wiedzy użytkownika określa się terminem drive-by download. Artykuł Ryana Naraine’a przedstawia, co w rzeczywistości ma miejsce podczas ataku „drive-by”, jakie przynęty i technologie wykorzystuje się do przeprowadzania takich ataków oraz w jaki sposób wykorzystuje się te ataki do kradzieży danych osobowych oraz przejmowania kontroli nad komputerami.

Zrozumieć eksplozję

Przed przeprowadzeniem bardziej szczegółowych badań ataków drive-by download, autor artykułu postanowił wyjaśnić najpierw, w jaki sposób „eksplodował” ten rodzaj ataków w ostatnich latach. W tym miejscu ekspert przypomina, że ten sam szkodliwy program (wirus, spyware, trojan, bot, rootkit oraz fałszywe oprogramowanie bezpieczeństwa) może być, i często jest, rozprzestrzeniany na wiele różnych sposobów – czasami za pośrednictwem poczty elektronicznej, czasami na skutek odwiedzenia strony internetowej, czasami przy użyciu innych metod.
Rozprzestrzenianie szkodliwych programów za pośrednictwem ataków „drive by” staje się coraz popularniejsze wśród cyberprzestępców, ponieważ ten sposób infekcji jest bardziej ukradkowy i prowadzi do większej ilości skutecznych ataków. Rysunek obok przedstawia dane pochodzące od ScanSafe, firmy śledzącej zagrożenia rozprzestrzeniające się za pośrednictwem Sieci, i ilustruje, w jaki sposób w ciągu dekady, od 1996 roku, trend przesunął się z poczty elektronicznej na Sieć oraz komunikatory internetowe.

Według nowszych danych firmy ScanSafe, 74 procent wszystkich szkodliwych programów zidentyfikowanych w trzecim kwartale 2008 roku było wynikiem odwiedzenia zainfekowanych stron internetowych.