Что такое drive-by атака?

Drive-by атака: определение

Drive-by атакой (атакой с помощью скрытой загрузки) называется установка вредоносного ПО на устройство пользователя без его согласия. Сюда же относится ненамеренная загрузка пользователем любых файлов или ПО на его устройство.

Эта угроза может таиться в любой части интернета и распространяться даже через абсолютно легальные веб-сайты.

Drive-by загрузка бывает двух типов:

1. загрузка программ или приложений, которые не являются вредоносными, но являются потенциально нежелательными (PUP/PUA);
2. загрузка вредоносного ПО.

Первый тип загрузки является вполне безопасным, в худшем случае на ваше устройство будет установлено рекламное ПО. Эксперты по кибербезопасности под drive-by атакой подразумевают второй вариант.

Что такое drive-by атака?

Drive-by атакой называется ненамеренная загрузка пользователем на его компьютер или мобильное устройство вредоносного кода, который открывает возможность для кибератаки. Заражение может произойти, даже если пользователь не переходил по ссылкам, не нажимал на кнопку загрузки и не открывал вредоносные вложения в электронной почте.

К скрытой загрузке может привести уязвимость в приложении, операционной системе или веб-браузере, возникшая из-за неудачной установки обновления или его отсутствия. Drive-by атака не требует никаких действий пользователя, что отличает ее от других типов кибератак.

С помощью drive-by атаки злоумышленники взламывают устройства, чтобы добиться одной или нескольких перечисленных ниже целей.

1. Захватить устройство, чтобы включить его в ботнет, инфицировать другие устройства или внести деструктивные изменения в ваше устройство.
2. Шпионить за действиями пользователя, чтобы похитить учетные данные к онлайн-аккаунтам, финансовую или личную информацию.
3. Уничтожить данные или заблокировать устройство, чтобы создать проблемы и причинить вред его владельцу.

Если на устройстве не установлено надежное защитное ПО или есть незакрытые уязвимости, его владелец легко может стать жертвой dirve-by атаки.

Как происходит drive-by атака?

Если вы хотя бы раз задались вопросом, что такое атака с помощью скрытой загрузки, значит, вы знаете гораздо больше, чем многие другие люди. Большинство людей даже не подозревают, как именно было заражено их устройство, ведь такие атаки происходят незаметно, в том числе и на безопасных веб-сайтах.

Вредоносная drive-by атака обычно осуществляется двумя способами.

1. С санкции пользователя, не осознающего всех последствий. При этом пользователь сам совершает действия, которые приводят к заражению устройства. Например, переходит по ссылке, содержащейся в фальшивом оповещении об угрозе безопасности, или загружает троянскую программу.
2. Без санкции пользователя и без предупреждения. Пользователь заходит на веб-сайт, и его устройство заражается вредоносным ПО без каких-либо уведомлений или дополнительных действий с его стороны. Такая загрузка может произойти в любом месте, даже на легальном веб-сайте.

Понимание, как происходит drive-by загрузка, не менее важно, чем умение распознать наживку злоумышленника. Давайте внимательно рассмотрим оба способа загрузки, чтобы научиться различать тревожные сигналы.

Санкционированная загрузка со скрытой угрозой

Санкционированная drive-by загрузка происходит стандартно и иногда ее можно распознать еще до начала атаки.

• Хакер создает средство для доставки вредоносного ПО: онлайн-сообщение, рекламный баннер или ссылку для загрузки легальной программы.
• Вы взаимодействуете с этим средством: переходите по поддельной ссылке, загружаете ПО и т.д.
• Вредоносное ПО устанавливается на ваше устройство, если вы не отказались от установки дополнительной программы или зашли на зараженный веб-сайт.
• Хакер успешно проникает на ваше устройство: вредоносное ПО получает контроль над вашими данными помимо вашего желания.

Программы или веб-сайты могут казаться безопасными, но при этом быть инфицированными вредоносным ПО. Главная опасность заключается именно в той легкости, с которой удается заманить посетителей на внешне безобидные веб-страницы или в приложения.

Например, вам присылают электронное письмо или сообщение в соцсети, в котором содержится ссылка. Это выглядит так, будто вам ее отправил доверенный источник. Злоумышленники используют этот прием социальной инженерии, чтобы побудить вас перейти по ссылке. Как только вы переходите на веб-страницу, происходит скрытая загрузка вредоносного ПО на ваш компьютер или мобильное устройство.

Bundleware – часто встречающаяся разновидность санкционированной загрузки, когда в загрузочный файл востребованного ПО включают дополнительные программы. Эти потенциально нежелательные программы или приложения (PUP/PUA) могут содержать зловреды или сами являться вредоносными. Обычно такие программы включены в качестве опции в комплект загрузки бесплатного или условно-бесплатного ПО.

Чтобы заманить вас и заставить совершить drive-by загрузку, злоумышленники могут использовать фишинг. Вы видите всплывающее окно или получаете мошенническое сообщение от имени известной организации, которой вы доверяете. Это может быть фальшивое оповещение об угрозе безопасности от веб-браузера или поддельное электронное письмо об утечке данных от вашего банка. Злоумышленники пытаются вас напугать в расчете на то, что вы нажмете на ссылку или загрузите вложение и это позволит им заразить ваше устройство.

Несанкционированная загрузка без ведома пользователя

Несанкционированная drive-by загрузка происходит очень просто, несмотря на то что ее можно поделить на несколько фаз.

1. Хакер заражает веб-страницу, внедряя вредоносный компонент через брешь в защите.
2. Вы приводите в действие этот компонент, зайдя на страницу, после чего он начинает поиск уязвимостей на вашем устройстве.
3. Вредоносный компонент загружает на ваше устройство вредоносное ПО, используя обнаруженную уязвимость.
4. Вредоносное ПО начинает работать – с его помощью хакер может нанести вред устройству, получить над ним контроль или украсть хранящиеся на нем данные.

Как мы уже говорили, при несанкционированной загрузке вредоносный код распространяется напрямую через зараженные веб-сайты. Но на сами веб-сайты этот код внедряют хакеры. При этом они используют как недоработки в цифровом коде, так и несоблюдение мер безопасности.

Наборы эксплойтов – это программы, которые предназначены для взлома веб-серверов и пользовательских устройств, имеющих уязвимости. Они находят в программном обеспечении устройств или веб-браузеров уязвимости, что позволяет выявить системы, которые могут стать легкой добычей. Наборы эксплойтов часто состоят из небольших фрагментов кода, которые практически незаметны и могут проскользнуть мимо базовых средств защиты. Этот код специально делается простым, поскольку эксплойты предназначены для выполнения единственной задачи: соединиться с другим компьютером и загрузить оттуда остальную часть кода, необходимую для получения доступа к мобильному устройству или компьютеру.

Уязвимости, которые обнаруживают эксплойты, неизбежны в наше цифровое время. Никакое оборудование или программное обеспечение не может быть абсолютно идеальным. Точно так же, как грабители в результате тщательной подготовки проникают в здание, хакеры взламывают программы проникают в сети и другую цифровую инфраструктуру. Эксплойты используют несколько типов уязвимостей.‎

• Эксплойты нулевого дня используют уязвимости, для которых еще не выпущены исправления.
• Известные эксплойты используют уязвимости, для которых существуют исправления, но они не установлены на устройстве.

От эксплойтов нулевого дня сложно защититься, а вот известные эксплойты проникают на устройства пользователей исключительно в результате того, что не приняты надлежащие меры кибербезопасности. Если конечные пользователи и системные администраторы регулярно не обновляют все программное обеспечение, то на устройства своевременно не устанавливаются обновления безопасности. Этим и пользуются хакеры.

Drive-by загрузка – это угроза, которой непросто избежать. Если не быть внимательным и не защищать надежно все точки выхода в интернет, онлайн-активность становится гораздо более опасной.

Как избежать атак с помощью drive-by загрузки

Как и в других областях кибербезопасности, лучшая защита – это соблюдение мер предосторожности. Никогда не будьте слишком уверены в своей безопасности. Специалисты «Лаборатории Касперского» составили подробную инструкцию о том, как избежать загрузки вредоносного кода.

Как владельцам веб-сайтов предотвратить drive-by загрузку

Если вы владелец веб-сайта, то вы – главная защита ваших посетителей от хакеров, которые за ними охотятся. Чтобы вы и посетители вашего веб-сайта были в безопасности, воспользуйтесь нашими советами для защиты своей инфраструктуры.

1. Своевременно обновляйте все компоненты веб-сайта. Это касается любых тем, расширений, плагинов и другой инфраструктуры. В каждом обновлении, как правило, содержатся патчи безопасности для защиты от хакеров.
2. Удаляйте устаревшие или неподдерживаемые компоненты веб-сайта. Устаревшее ПО, на которое регулярно не устанавливаются патчи безопасности, привлекает внимание мошенников и становится легкой добычей.
3. Используйте сложные логин и пароль для учетной записи администратора. Заводские пароли или простые пароли вроде «password1234» хакеры взламывают практически мгновенно с помощью брутфорс-атак. В целях безопасности используйте одновременно генератор и менеджер паролей.
4. Установите на свой веб-сайт программное обеспечение для защиты от интернет-угроз. Программы мониторинга помогут отслеживать любые вредоносные изменения в серверном коде вашего веб-сайта.
5. Подумайте о том, как реклама, размещенная на вашем веб-сайте, может отразиться на его посетителях. Рекламные объявления – популярное средство drive-by загрузки. Убедитесь, что вы не предлагаете своим посетителям подозрительные рекламные объявления.

7 советов для конечных пользователей

Пользователям следует полагаться в основном на различные возможности защиты, заложенные в их программном обеспечении. Воспользуйтесь нашими советами, чтобы подготовиться самим и подготовить свое ПО к атаке с помощью drive-by загрузки.

1. Используйте учетную запись с правами администратора только для установки программного обеспечения на компьютер. Права администратора на вашем компьютере – это то, что необходимо злоумышленнику, чтобы совершить drive-by загрузку без вашего согласия. Поскольку этот параметр в вашей основной учетной записи установлен по умолчанию, создайте для повседневной работы вторую учетную запись без прав администратора.
2. Своевременно обновляйте веб-браузер и операционную систему. Свежие патчи безопасности помогают закрывать бреши в защите, через которые внедряется код для drive-by загрузки. Не медлите – устанавливайте обновления сразу же после их появления.
3. Удаляйте ненужные программы и приложения. Чем больше плагинов установлено на вашем устройстве, тем больше риск заражения. Оставляйте на устройстве только те программы, которые вы постоянно используете и в безопасности которых вы уверены. Кроме того, удалите устаревшие приложения, для которых уже не выпускаются обновления.
4. Установите ПО для защиты от интернет-угроз на все свои устройства. В таких решениях, как Kaspersky Premium, базы данных вредоносных программ обновляются автоматически, что позволяет обнаруживать новейшие угрозы. Кроме того, такие решения в проактивном режиме проверяют веб-страницы и блокируют заведомо зараженные сайты.
5. Никогда не посещайте веб-сайты, которые могут быть заражены вредоносным кодом. Часто источниками заражения являются файлообменники или сайты с контентом для взрослых. Чтобы избежать заражения, посещайте только надежные сайты, которыми вы постоянно пользуетесь, или в крайнем случае сайты с хорошей репутацией.
6. Если в веб-браузере всплывает окно с предупреждением об опасности, внимательно изучите его, прежде чем открыть. Мошенники создают поддельные всплывающие окна для десктопных или мобильных браузеров, которые выглядят как настоящие уведомления системы безопасности. Если вы видите в тексте опечатки, грамматические ошибки или изображения в низком разрешении – возможно, вас пытаются направить на зараженный веб-сайт.
7. Используйте блокировщик рекламы. Во время drive-by атак заражение часто происходит именно через онлайн-рекламу. Если вы установите блокировщик рекламы, у вас будет меньше шансов подвергнуться такому типу атак.

Статьи по теме:

• 10 вещей, которые опасно делать в интернете
• Что такое целевой фишинг?