Drive-by download

Drive-by download

 

Drive-by download는 악성코드가 유포되는 방식 중 하나로, 인터넷에서 컴퓨터 소프트웨어의 의도되지 않는 다운로드와 관련해서, 각각 다음과 같은 두가지를 의미합니다. target website가 공격도구라고 생각될 수 있습니다. 예를들면, 크립토락커(CryptoLocker), 매트릭스(Metrix), 헤르메스(Hermes)로 알려진 랜섬웨어는 주로 Drive-by download 방식으로 유포되었다고 알려져 있습니다. 또한 최근엔 갠드크랩(GandCrab)이란 랜섬웨어가 Drive-by download 방식으로 유포되고 있다고 합니다.)

 

1. 결과에 대한 이해가 없는 개인이 허가한 다운로드들(예를 들면 알려지지 않은 위조 실행 파일이나, 액티브X 컴퓨넌트 또는 자바 애플릿)

 

2.컴퓨터 바이러스, 스파이웨어, 악성 소프트웨어 같은 개인의 인식 없이 일어나는 다운로드

 

Drive-by download들은 웹 사이트를 방문하거나 이메일 메시지를 볼 때 또는 팝업 윈도우를 클릭할 때 발생합니다. 이러한 경우에 "제공자"는 비록 사용자가 인지하지 못했더라도 다운로드에 "동의"하였다고 주장하기도 합니다. 해커들은 악의적인 코드를 숨기기 위해 다양한 기법들을 사용해서, 바이러스 검사 소프트웨어가 인식하지 못하게 합니다. 이 코드는 숨겨진 iframes에서 실행되며 탐지가 되지 않을 수 있습니다. 동의어로 Drive-by install도 쓰입니다. 이것은 다운로드 보다는 설치하는 것을 가리킵니다.

 

이러한 기법은 웹브라우저(또는 추가로 설치된 plugin기능)가 가지고 있는 보안취약점을 활용하는 기법입니다. 어도비 플래시(Flash), 어도비 아크로뱃 리더(Reader), 오라클 자바(Java & JavaScript), 마이크로소프트 실버라이트(Silverlilght)가 plugin에 속하는 기능입니다. 애드온(Add-on)어플리케이션 이라고도 부릅니다.

 

타겟으로 삼은 특정 사용자를 대상으로, 악성코드가 심겨져 있는 특정 사이트에 접속하도록 유인하는 기법으론, 스피어피싱(Spear phishing)공격과 워터링홀(Watering Hall) 공격이 있습니다. 각 단어가 의미하듯이, 스피어 피싱은 타켓으로 하는 사용자를 정해놓고 창으로 찌르는 것이며, 워터링홀 공격은 특정 집단에 속한 사용자들이 자주 다니는 길목에 물엉덩이 함정을 파놓고 빠지느 ㄴ것을 기다리는 공격입니다. 스피어피싱 공격은, 사회공학적 기법으로, 목표로 하는 사용자에 대한 정보를 미리 파악하여, 지인이나 거래처직원의 이메일 주소를 도용하여, 이메일 속에 포함된 사이트 주소를 클릭하도록 유도합니다.

 

 

 

 

 

 

참고 : https://hack-cracker.tistory.com/255