Este posibil ca pc-ul dv. să se infecteze doar accesând un site web?(drive-by download)

Există zeci de moduri în care programele malware pot intra în sistemul dvs. În majoritatea cazurilor, infecțiile implică o acțiune inițiată de utilizator, cum ar fi deschiderea unui atașament sau executarea unui fișier .exe dobândit dintr-un colț al internetului.

În alte cazuri, vă puteți infecta cu programe malware chiar și fără a deschide un fișier sau a descărca ceva rău intenționat - este suficient să vizitați un site web compromis.

În acest articol, vă vom arăta exact cum funcționează descărcările drive-by și cum vă puteți proteja de această amenințare.

mallware drive-by

Ce este o descărcare drive-by?

O descărcare drive-by se referă la descărcarea de software rău intenționat pe dispozitivul dvs. fără consimțământul dvs. Spre deosebire de alte tipuri de programe malware care se bazează de obicei pe înșelarea dvs. să faceți clic pe un link rău intenționat sau să descărcați un fișier rău intenționat, descărcările drive-by pot avea loc fără nicio interacțiune a utilizatorului. Descărcările drive-by pot avea loc pe site-uri web deținute de atacatori, pe site-uri legitime care au fost compromise și prin reclame rău intenționate afișate pe site-uri altfel sigure.

Cu alte cuvinte, da, puteți obține programe malware doar accesând un site web.

Majoritatea tipurilor de descărcări drive-by funcționează prin exploatarea vulnerabilităților cunoscute din sistemul dvs. de operare, browserul web și pluginurile browserului. Aceste defecte de securitate există, de obicei, numai din cauza practicilor slabe de securitate cibernetică - multe companii și utilizatori casnici întârzie să aplice patch-uri de securitate vitale, ceea ce oferă atacatorilor o fereastră de oportunitate de a exploata vulnerabilitățile cunoscute.

Ce este un kit de exploatare?

Atacurile de descărcare drive-by implică de obicei utilizarea unui kit de exploatare. Un kit de exploatare este o colecție pre-ambalată de exploit-uri care încearcă să infecteze automat ținte folosind o varietate de metode diferite de atac.

Kituri Exploits sunt concepute pentru a fi ușor de utilizat și sunt adesea încărcate cu funcții precum o consolă de administrare, funcții suplimentare și asistență tehnică, care facilitează lansarea unei campanii pentru criminalii cibernetici de toate nivelurile de alfabetizare tehnică. Creatorii de truse de exploatare pot genera profituri substanțiale prin închirierea trusei de exploatare către alți infractori cibernetici - un model descris uneori ca truse de exploatare ca serviciu. Cele mai căutate truse de exploatare pot costa mii de dolari pe lună.

Majoritatea kiturilor moderne de exploatare funcționează prin scanarea sistemului unui vizitator al site-ului web - sistem de operare, adresă IP, browser, pluginuri și multe altele - pentru a determina ce sisteme sunt vulnerabile la compromisuri. Kitul de exploatare selectează apoi automat o metodă de atac în funcție de vulnerabilitatea identificată și declanșează secvența de evenimente care duce la livrarea sarcinii utile rău intenționate.

Cum funcționează descărcările drive-by

Următoarele descriu anatomia tipică a unui atac de descărcare drive-by:

  1. Implementarea kitului de exploatare: actorii de amenințare implementează un kit de exploatare pe propriul server, pe un site web legitim compromis sau prin servicii de publicitate terță parte.
  2. Contact: Pentru a răspândi conținutul rău intenționat, adversarii trebuie să conducă trafic către pagina de destinație a kitului de exploatare. Metodele de generare a traficului variază în funcție de locul în care este implementat exploatarea: Serverul atacatorului: atragerea vizitatorilor către un nou site web poate fi o provocare, astfel încât campaniile de e-mail sau de phishing pe rețelele sociale pot fi utilizate pentru a genera trafic.
    Site web legitim: site-urile web legitime au deja propriile surse de trafic, ceea ce reduce dificultatea de a atrage potențiale victime.
    Publicitate greșită: conținutul rău intenționat este răspândit prin servicii de publicitate, ale căror reclame pot fi afișate pe web pe site-uri legitime.
  3. Amprentarea digitală: atunci când un vizitator aterizează pe pagina de destinație a kitului de exploatare, kitul de exploatare analizează amprenta dispozitivului utilizatorului pentru a identifica potențialele vulnerabilități din stiva software a utilizatorului și pentru a determina dacă acestea sunt o țintă adecvată.
  4. Exploatare: dacă utilizatorul este considerat a fi o țintă adecvată, kitul de exploatare exploatează automat vulnerabilitățile detectate pentru a iniția descărcarea drive-by. Țintele fără vulnerabilități adecvate pot fi ignorate sau redirecționate către o pagină de destinație care utilizează tactici de inginerie socială pentru a înșela utilizatorul în descărcarea programelor malware.
  5. Executare: fișierul rău intenționat este executat. Adesea, acesta este un atac în mai multe etape, prin care descărcarea inițială drive-by este utilizată pentru a implementa alte tipuri de malware. Metodele de ofuscare sunt de obicei utilizate pentru a preveni detectarea pe tot parcursul atacului.

Ce tip de malware poate fi instalat într-un atac de descărcare drive-by?

Adversarii folosesc descărcări drive-by ca modalitate de a stabili controlul unui dispozitiv. Deoarece nu este necesară nicio interacțiune cu utilizatorul, descărcările drive-by pot fi o modalitate eficientă pentru actorii de amenințare de a obține în liniște accesul la un dispozitiv și de a utiliza infecția inițială ca o trambulină pentru a efectua alte activități dăunătoare.

Exact ce tip de malware este livrat într-o descărcare drive-by depinde de obiectivul atacului. În unele cazuri, obiectivul este descărcarea drive-by. În alte cazuri, descărcarea drive-by este pur și simplu prima fază a unui atac în mai multe etape - o oportunitate pentru atacatori de a obține un punct de sprijin în mediul țintă înainte de a face următoarea lor mișcare.

Având în vedere acest lucru, descărcările drive-by pot fi utilizate în cele din urmă pentru a implementa aproape orice tip de malware, inclusiv ransomware, keyloggers, backdoor și multe altele.

Cum vă protejează programul antivirus / antimallware de descărcările drive-by

Dacă utilizați un program antimallware corespunzator, puteți fi siguri că sunteți pe deplin protejat de descărcările drive-by, datorită mai multor tehnologii de protecție puternice care funcționează în sinergie pentru a vă proteja de amenințările online.

La perimetrul exterior, Web Protection și Emsisoft Browser Security vă împiedică să vă conectați la site-uri web rău intenționate utilizând o bază de date imensă de gazde rău intenționate actualizate continuu. În cazul în care întâmpinați o pagină de destinație a kitului de exploatare, blocatorul de comportament va intercepta automat încercările de exploatare și va opri încercarea de a executa fișierele descărcate - inclusiv fișierele rău intenționate care nu au mai fost văzute până acum. 

Adoptarea unei abordări cu mai multe straturi a securității oferă multiple oportunități de a neutraliza descărcările drive-by înainte ca acestea să poată aduce modificări dispozitivului dvs.

Mai multe sfaturi despre cum să preveniți descărcările drive-by

Următoarele bune practici pot fi utile pentru reducerea riscului de atacuri de descărcare drive-by:

  1. Instalați prompt actualizările de securitate: după cum sa discutat anterior, majoritatea atacurilor de descărcare drive-by funcționează prin exploatarea defectelor de securitate cunoscute. Reduceți acest risc instalând întotdeauna actualizări de securitate pentru browserul dvs. web, extensii, sistemul de operare și alte aplicații de îndată ce patch-urile sunt disponibile.
  2. Evitați site-urile web incomplete: în timp ce o descărcare drive-by ar putea avea loc teoretic oriunde pe web, este mai probabil să experimentați un atac asupra site-urilor web care se ocupă de piraterie și conținut matur. Reduceți riscul de infecție prin lipirea de site-uri de încredere și bine stabilite.
  3. Eliminați aplicațiile neutilizate: micșorarea suprafeței de atac reduce riscul de infecție. Lăsați câteva minute să vă examinați aplicațiile și extensiile de browser și să dezinstalați orice utilizați rar sau care pare necunoscut. Aplicațiile care nu mai primesc actualizări sunt deosebit de riscante și ar trebui eliminate.
  4. Ferește-te de phishing: adversarii folosesc uneori phishing-ul pentru a direcționa traficul către o pagină de destinație rău intenționată care conține un kit de exploatare. Familiarizați-vă cu limbajul de phishing, fiți atenți la e-mailurile nesolicitate care încearcă să transmită un sentiment de urgență și verificați întotdeauna adresele URL înainte de a da clic pe orice. 
  5. Utilizați un blocator de anunțuri: descărcările Drive-by sunt distribuite frecvent prin intermediul rețelelor publicitare. O modalitate eficientă de a bloca acest vector de atac este instalarea unui blocator publicitar (ads blocker).

Rezumat

Este adevărat că puteți obține programe malware doar accesând un site web. Prin utilizarea kiturilor de exploatare găzduite pe site-uri web legitime dăunătoare sau compromise, actorii de amenințare pot lansa atacuri de descărcare drive-by care livrează programe malware fără ca tu chiar să pui mâna pe mouse.

Menținerea aplicațiilor la zi, utilizarea unui software antivirus bun, instalarea unui blocator de anunțuri și atenția la încercările de phishing pot reduce considerabil riscul de a fi victima unui atac de descărcare drive-by.