دانلود Drive-by یک تکنیک مخرب است که توسط مجرمان سایبری برای تحویل بدافزار به دستگاه قربانی بدون اطلاع یا رضایت آنها استفاده می شود. این شامل سوء استفاده از آسیبپذیریها در مرورگرهای وب، افزونهها یا سیستمعاملها برای شروع دانلود خودکار بدافزار هنگام بازدید کاربر از یک وبسایت در معرض خطر است. این روش بسیار موثر است زیرا نیازی به تعامل کاربر ندارد و تشخیص و جلوگیری از آن را دشوار می کند.
تاریخچه پیدایش دانلود Drive-by و اولین اشاره به آن.
مفهوم دانلود Drive-by در اوایل دهه 2000 ظهور کرد، زمانی که مهاجمان سایبری به دنبال راههای پیچیدهتری برای توزیع بدافزار بودند. اولین بارگیری Drive-by در انجمنهای امنیتی و بحثها بود، جایی که کارشناسان متوجه افزایش قابلتوجهی در آلودگیهای بدافزار شدند که در سکوت کاربران در حال مرور اینترنت بودند.
با تکامل فناوری های وب، مهاجمان فرصت های جدیدی برای سوء استفاده از آسیب پذیری ها در مرورگرها و افزونه های مرورگر پیدا کردند. این آسیبپذیریها به آنها اجازه میداد تا کدهای مخرب را به وبسایتهای قانونی تزریق کنند و آنها را به مکانیزم تحویل بدافزار تبدیل کنند. در نتیجه، دانلودهای Drive-by به یک نگرانی اصلی برای کاربران اینترنت و کارشناسان امنیت سایبری تبدیل شد.
اطلاعات دقیق درباره دانلود Drive-by. در حال گسترش مبحث دانلود Drive-by.
دانلودهای Drive-by مخفیانه هستند و بدون رضایت یا اطلاع کاربر کار می کنند. این فرآیند معمولاً شامل چندین مرحله است:
-
ناقل عفونت: مهاجمان سایبری از آسیب پذیری های موجود در مرورگرهای وب، پلاگین ها یا سیستم عامل ها برای شروع دانلود سوء استفاده می کنند. این آسیبپذیریها را میتوان در نرمافزارهای قدیمی یا اکسپلویتهای روز صفر که هنوز توسط توسعهدهندگان اصلاح نشدهاند، پیدا کرد.
-
بار مخرب: هنگامی که آسیب پذیری شناسایی شد، مهاجم بار بدافزار را به دستگاه قربانی تحویل می دهد. محموله می تواند متفاوت باشد، از جمله باج افزار، جاسوس افزار، ابزارهای تبلیغاتی مزاحم یا سایر نرم افزارهای مخرب.
-
بهره برداری: کاربر از یک وب سایت در معرض خطر بازدید می کند که کد مخرب به آن تزریق شده است. کد به طور خودکار بدون تعامل کاربر اجرا می شود و باعث دانلود و اجرای بدافزار می شود.
-
عفونت خاموش: بدافزار خود را بدون هیچ علامت قابل مشاهده ای برای کاربر نصب می کند و شناسایی و حذف آن را دشوار می کند.
ساختار داخلی دانلود Drive-by. دانلود Drive-by چگونه کار می کند.
فرآیند دانلود Drive-by شامل ترکیبی از عناصر فنی برای دستیابی به عفونت موفق است:
-
کیت های اکسپلویت: مجرمان سایبری اغلب از کیت های بهره برداری استفاده می کنند که مجموعه ای از سوء استفاده های از پیش بسته بندی شده است که آسیب پذیری های خاصی را هدف قرار می دهد. این کیت ها به طور خودکار سیستم قربانی را برای یافتن نرم افزارهای آسیب پذیر بررسی می کنند و اکسپلویت مناسب را برای استفاده از ضعف ارائه می دهند.
-
تغییر مسیر مخرب: مهاجمان ممکن است از تکنیک های تغییر مسیر مخرب برای منحرف کردن کاربران از وب سایت های قانونی به وب سایت های مخرب بدون اطلاع آنها استفاده کنند. این تکنیک شانس آلوده شدن تعداد بیشتری از دستگاه ها را افزایش می دهد.
-
استگانوگرافی: کدهای مخرب را می توان در تصاویر یا سایر فایل های رسانه ای با استفاده از steganography پنهان کرد که تشخیص محموله پنهان را برای ابزارهای امنیتی دشوار می کند.
-
فایل های چند زبانه: مهاجمان سایبری ممکن است از فایلهای چند زبانه استفاده کنند، فایلهایی که بهطور خاص ساخته شدهاند و برای نرمافزارهای قانونی بیضرر به نظر میرسند، اما حاوی کدهای مخرب هستند. این فایل ها می توانند از چندین آسیب پذیری در برنامه های نرم افزاری مختلف سوء استفاده کنند.
تجزیه و تحلیل ویژگی های کلیدی دانلود Drive-by.
ویژگی های کلیدی دانلود Drive-by عبارتند از:
-
مخفی کاری: دانلودهای Drive-by بی صدا در پس زمینه کار می کنند و تشخیص عفونت را برای کاربران سخت می کند.
-
عفونت سریع: این فرآیند سریع است و به حداقل تعامل کاربر نیاز دارد و به مهاجمان اجازه می دهد تا بدافزار را به سرعت توزیع کنند.
-
مبتنی بر اکسپلویت: دانلودهای Drive-by به بهره برداری از آسیب پذیری های نرم افزار برای شروع دانلود متکی هستند.
-
دسترسی وسیع: مهاجمان می توانند با به خطر انداختن وب سایت های محبوب یا استفاده از شبکه های تبلیغاتی مخرب، طیف گسترده ای از قربانیان احتمالی را هدف قرار دهند.
انواع دانلود Drive-by و ویژگی های آنها.
تایپ کنید | مشخصات |
---|---|
رانندگی استاندارد | شکل کلاسیک دانلود Drive-by، که در آن دستگاه کاربر صرفاً با بازدید از یک وب سایت در معرض خطر آلوده می شود. |
تبلیغات بد | تبلیغات مخرب در وبسایتهای قانونی قرار میگیرند و کاربران را به سایتهایی هدایت میکنند که کیتهای بهرهبرداری را میزبانی میکنند یا بدافزار را مستقیماً از طریق خود آگهی ارائه میدهند. |
حمله به سوراخ آبی | مهاجمان وب سایت هایی را هدف قرار می دهند که اغلب توسط سازمان قربانی بازدید می شود و سایت را آلوده می کنند تا بدافزار را بین کارکنان سازمان توزیع کنند. |
Drive-by مبتنی بر فایل | بدافزار از طریق فایلهای آلوده مانند PDF یا اسناد Word تحویل داده میشود که از آسیبپذیریهای موجود در نرمافزار مربوطه برای اجرای payload سوء استفاده میکنند. |
راه های استفاده از دانلود Drive-by:
- دانلودهای Drive-by اغلب برای توزیع باج افزار استفاده می شود و به مهاجمان اجازه می دهد فایل های قربانی را رمزگذاری کنند و برای رمزگشایی باج طلب کنند.
- مجرمان سایبری از دانلودهای Drive-by برای ارائه نرم افزارهای جاسوسی استفاده می کنند و آنها را قادر می سازد تا بر فعالیت های کاربر نظارت کرده و اطلاعات حساس را به سرقت ببرند.
- ابزارهای تبلیغاتی مزاحم و ربایندگان مرورگر اغلب از طریق تکنیک های دانلود Drive-by برای تزریق تبلیغات ناخواسته یا هدایت ترافیک وب توزیع می شوند.
مشکلات و راه حل ها:
- نرم افزار قدیمی: دانلودهای Drive-by با بهره برداری از آسیب پذیری ها در نرم افزارهای قدیمی رشد می کنند. کاربران باید به طور منظم سیستم عامل ها، مرورگرها و پلاگین های خود را به روز کنند تا نقص های امنیتی شناخته شده را برطرف کنند.
- آگاهی امنیتی: آموزش کاربران در مورد خطرات ناشی از بازدید از وبسایتهای ناآشنا یا کلیک کردن روی پیوندهای مشکوک میتواند به جلوگیری از آلودگی دانلود Drive-by کمک کند.
- فیلتر کردن وب: استفاده از راهحلهای فیلتر وب میتواند دسترسی به وبسایتهای مخرب شناخته شده را مسدود کند و خطر دانلودهای Drive-by را کاهش دهد.
مشخصات اصلی و سایر مقایسه ها با اصطلاحات مشابه در قالب جداول و فهرست.
مشخصات | Drive-by دانلود | فیشینگ | توزیع بدافزار |
---|---|---|---|
روش تحویل | بهره برداری از وب | مهندسی اجتماعی | مختلف |
تعامل کاربر مورد نیاز است | هیچ یک | آره | متفاوت است |
هدف، واقعگرایانه | تحویل بدافزار | سرقت اطلاعات | انتشار نرم افزارهای مخرب |
پنهان کاری | بسیار بالا | متوسط به بالا | متفاوت است |
هدف گذاری | توزیع انبوه | افراد/گروه های خاص | متفاوت است |
شیوع | مشترک | مشترک | مشترک |
با ادامه بهبود اقدامات امنیت سایبری، تکنیکهای دانلود Drive-by ممکن است کمتر مؤثر واقع شوند. با این حال، مجرمان سایبری احتمالاً سازگار شده و راههای جدیدی برای بهرهبرداری از فناوریها و دستگاههای نوظهور پیدا خواهند کرد. برخی از دیدگاهها و فناوریهایی که ممکن است در آینده بر دانلود Drive-by تأثیر بگذارند عبارتند از:
-
Sandboxing مرورگر: پیشرفتها در فناوریهای sandboxing مرورگر میتواند محتوای وب را از سیستم عامل اصلی جدا کند و تأثیر سوء استفادهها را محدود کند.
-
تحلیل رفتاری: راه حل های امنیتی ممکن است بر تجزیه و تحلیل رفتاری، شناسایی فعالیت های مشکوک حتی بدون تکیه بر امضاهای شناخته شده تمرکز کنند.
-
هوش مصنوعی و یادگیری ماشین: ادغام الگوریتمهای هوش مصنوعی و یادگیری ماشینی میتواند قابلیتهای تشخیص و پاسخ تهدید را افزایش دهد و شناسایی تلاشهای دانلود Drive-by را بهبود بخشد.
-
معماری بدون اعتماد: سازمانها ممکن است اصول اعتماد صفر را اتخاذ کنند که هر درخواستی را بهعنوان مخرب بالقوه تلقی میکند و در نتیجه خطر دانلودهای Drive-by را به حداقل میرساند.
چگونه می توان از سرورهای پراکسی استفاده کرد یا با دانلود Drive-by مرتبط شد.
سرورهای پروکسی می توانند هم در دفاع در برابر دانلودهای Drive-by و هم در برخی موارد در تسهیل چنین حملاتی نقش داشته باشند:
-
دفاع: سازمانها میتوانند از سرورهای پراکسی با قابلیت فیلتر کردن وب برای مسدود کردن دسترسی به وبسایتهای مخرب شناخته شده استفاده کنند و خطر مواجهه کاربران با تلاشهای دانلود Drive-by را کاهش دهند.
-
ناشناس بودن: مجرمان سایبری ممکن است از سرورهای پروکسی برای مخفی کردن هویت خود استفاده کنند، که ردیابی منشأ حملات دانلود توسط Drive-by را برای مقامات دشوار می کند.
-
دور زدن محدودیت ها: مهاجمان می توانند از سرورهای پراکسی برای دور زدن موقعیت جغرافیایی یا محدودیت های محتوا استفاده کنند و به اهداف آسیب پذیر در مناطق مختلف دسترسی پیدا کنند.
لینک های مربوطه
برای اطلاعات بیشتر در مورد دانلود Drive-by، می توانید به منابع زیر مراجعه کنید:
- US-CERT: Drive-by دانلود
- OWASP: دانلود توسط Drive
- Microsoft Security: Drive-by Download Definition
- Kaspersky: Drive-by Download Definition
- Symantec: Watering Hole Attacks
- Cisco Talos: Malvertising
به خاطر داشته باشید که مراقب باشید و نرم افزار خود را به روز نگه دارید تا از حملات دانلود Drive-by محافظت کنید.