«Лаборатория Касперского» публикует статью «Drive-by загрузки. Интернет в осаде»

«Лаборатория Касперского», ведущий разработчик систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, публикует статью эксперта по информационной безопасности «Лаборатории Касперского» Райана Нарейна «Drive-by загрузки. Интернет в осаде». Она посвящена загрузке вредоносного ПО с веб-сайтов без ведома пользователя, так называемым drive-by атакам. В статье подробно рассказывается о том, как пользователей завлекают на зараженные сайты, какие технологии применяются для организации атак, как с помощью загрузки drive-by злоумышленники крадут личные данные и захватывают компьютеры пользователей.

Киберпреступники стремятся максимально использовать интернет для распространения вирусов, шпионских и троянских программ, руткитов, фальшивого ПО для защиты данных и утилит для создания бот-сетей. Доставка вредоносного ПО с веб-сайтов с использованием drive-by загрузки позволяет незаметно заражать компьютеры пользователей и, соответственно, чаще добиваться успеха при проведении атаки. Именно поэтому этот метод особенно популярен у киберпреступников: по данным компании ScanSafe, 74% всего вредоносного ПО, обнаруженного в третьем квартале 2008 года, было размещено на зараженных веб-сайтах.

Drive-by атака осуществляется в два этапа. Сначала пользователя заманивают с помощью спам-объявлений, распространяемых по электронной почте или размещаемых на доске объявлений в Сети, на сайт, содержащий код, который перенаправляет запрос на сторонний сервер, на котором хранится эксплойт.

При drive-by атаках злоумышленники используют наборы эксплойтов, которые продаются на нелегальных хакерских сайтах. Эксплойты, входящие в такие наборы, могут быть нацелены на уязвимости веб-браузера, его незащищенные встраиваемые модули (плагины), уязвимости элементов управления ActiveX или бреши в защите стороннего ПО. Сервер, на котором размещены наборы эксплойтов, может использовать данные из заголовка HTTP-запроса браузера посетителя для того, чтобы определить тип браузера, его версию, а также используемую операционную систему. Как только операционная система жертвы определена, начинает действовать/активируется соответствующий эксплойт из набора. В некоторых случаях могут быть активированы одновременно несколько эксплойтов, пытающихся заразить компьютер, используя уязвимости в приложениях сторонних производителей.

В случае успешной атаки на компьютере незаметно для пользователя устанавливается троянская программа, что предоставляет злоумышленникам полный контроль над зараженным компьютером. Впоследствии они получают доступ к конфиденциальным данным на таком компьютере и возможность осуществлять с него DoS-атаки.

Раньше злоумышленники создавали вредоносные сайты, однако в последнее время хакеры стали заражать законопослушные веб-ресурсы, размещая на них скриптовые эксплойты или код для переадресации запросов, что делает атаки через браузер еще опаснее.

Эксперты по компьютерной безопасности говорят о широкомасштабной эпидемии drive-by загрузок. За последние десять месяцев 2008 года Google Anti-Malware Team проанализировала миллиарды страниц в поисках вредоносной активности и обнаружила более трех миллионов URL-адресов, по которым хранились эксплойты, использующие drive-by загрузку. Эпидемию drive-by загрузок связывают преимущественно с тем, что на многих компьютерах не установлены обновления Windows, при этом большинство эксплойтов использует известные уязвимости, патчи для которых доступны.

В заключение автор статьи дает несколько рекомендаций, которые помогут пользователям избежать атак с использованием drive-by загрузок. Наиболее действенным подходом к защите от drive-by загрузок является своевременная и полная установка выпускаемых производителями ПО обновлений. Необходимо также пользоваться веб-браузерами, обеспечивающими блокирование фишинговых и вредоносных сайтов (Internet Explorer, Mozilla Firefox и Opera). Кроме того, обязательно надо активировать сетевой экран, установить антивирусное ПО и поддерживать антивирусные базы в актуальном состоянии. При этом важно, чтобы антивирусный продукт проверял интернет-трафик, что позволит вовремя обнаружить попытки проведения атаки методом drive-by загрузки.

С полной версией статьи можно ознакомиться на информационно-аналитическом ресурсе Viruslist.ru.

"Лаборатория Касперского" не возражает против перепечатки материалов с полным указанием авторства (автор, компания, первоисточник). Публикация переработанного текста требует дополнительного согласования с информационной службой компании.