Злоумышленники все чаще используют методы прямой загрузки для доставки вредоносного программного обеспечения, которое компрометирует компьютеры. В этом документе объясняется, как работают попутные загрузки и как можно избежать компрометации этих методов.
Другой формой прямой загрузки является «вредоносная реклама», которая обычно основана на Flash Player и использует неустановленное программное обеспечение. Под видом законных рекламодателей злоумышленник внедряет свое вредоносное программное обеспечение в рекламу на легальном веб-сайте. Когда пользователь просматривает рекламу, вредоносная программа заражает его компьютер.
Для большинства загрузок по принципу drive-by требуется, чтобы скрипты загружались со сторонних сайтов. Злоумышленник может вводить встроенные коды фреймов в законные веб-сайты, которые затем загружают вредоносное программное обеспечение, размещенное на других веб-сайтах, управляемых злоумышленником, при посещении взломанного веб-сайта.
Поисковая оптимизация (SEO) - это еще один метод, который часто используется в сочетании с эксплойтом для прямой загрузки. SEO увеличивает видимость веб-сайта в поисковой системе. Как правило, чем выше или чаще веб-сайт появляется в результатах поиска, тем больше трафика он может получить от пользователей поисковой системы. Злоумышленник может использовать SEO для продвижения своих вредоносных веб-сайтов в поисковых системах, чтобы увеличить вероятность получения трафика на свой веб-сайт для использования эксплойта.
Доступны наборы вредоносных программ, которые нацелены на определенные веб-браузеры или недостатки программного обеспечения, включая Adobe Reader, Microsoft Internet Explorer и плагины для веб-браузеров. Сервер, к которому подключены эти комплекты, может использовать заголовки HTTP-запросов из веб-браузера, чтобы определить, какие конкретные эксплойты с наибольшей вероятностью будут работать на компьютере пользователя.
Введение
Злоумышленники все чаще используют методы прямой загрузки для доставки вредоносного программного обеспечения, которое компрометирует компьютеры. В этом документе объясняется, как работают попутные загрузки и как можно избежать компрометации этих методов.Что происходит при попутной загрузке?
Попутная загрузка происходит, когда пользователь посещает законный, но взломанный веб-сайт. Когда пользователь получает доступ к веб-сайту, злоумышленник использует слабые места или другие уязвимости безопасности в веб-браузере пользователя или подключаемых модулях веб-браузера, позволяя загружать вредоносные файлы на компьютер пользователя. Загруженные файлы позволяют злоумышленнику получить полный доступ и контроль над компьютером пользователя, либо для кражи ценной информации, либо для запуска атак типа «отказ в обслуживании» против других пользователей в Интернете.Другой формой прямой загрузки является «вредоносная реклама», которая обычно основана на Flash Player и использует неустановленное программное обеспечение. Под видом законных рекламодателей злоумышленник внедряет свое вредоносное программное обеспечение в рекламу на легальном веб-сайте. Когда пользователь просматривает рекламу, вредоносная программа заражает его компьютер.
Для большинства загрузок по принципу drive-by требуется, чтобы скрипты загружались со сторонних сайтов. Злоумышленник может вводить встроенные коды фреймов в законные веб-сайты, которые затем загружают вредоносное программное обеспечение, размещенное на других веб-сайтах, управляемых злоумышленником, при посещении взломанного веб-сайта.
Поисковая оптимизация (SEO) - это еще один метод, который часто используется в сочетании с эксплойтом для прямой загрузки. SEO увеличивает видимость веб-сайта в поисковой системе. Как правило, чем выше или чаще веб-сайт появляется в результатах поиска, тем больше трафика он может получить от пользователей поисковой системы. Злоумышленник может использовать SEO для продвижения своих вредоносных веб-сайтов в поисковых системах, чтобы увеличить вероятность получения трафика на свой веб-сайт для использования эксплойта.
Доступны наборы вредоносных программ, которые нацелены на определенные веб-браузеры или недостатки программного обеспечения, включая Adobe Reader, Microsoft Internet Explorer и плагины для веб-браузеров. Сервер, к которому подключены эти комплекты, может использовать заголовки HTTP-запросов из веб-браузера, чтобы определить, какие конкретные эксплойты с наибольшей вероятностью будут работать на компьютере пользователя.
Снижение риска побочных загрузок
Для уменьшения побочных загрузок необходимо реализовать следующие стратегии смягчения:- Реализуйте контроль приложений. Во многих успешных инцидентах в области кибербезопасности контроль приложений был бы единственной стратегией смягчения последствий, способной остановить скрытые загрузки от выполнения вредоносного ПО.
- Исправляйте приложения и уязвимости безопасности операционных систем, особенно Java и Flash. Старые версии приложений более уязвимы для случайных загрузок. Держите все приложения в актуальном состоянии.
- Сведите к минимуму использование прав домена и администратора. Ограничьте возможность доступа пользователей с правами домена или администратора к электронной почте и Интернету, используя для этих целей отдельные непривилегированные рабочие станции или учетные записи.
- Внедрите надежную фильтрацию веб-содержимого, которая проверяет содержимое всего веб-трафика на предмет потенциально вредоносных загрузок и блокирует его. Предпочтительно блокировать ActiveX, Java, Flash, встроенные фреймы HTML и JavaScript, за исключением утвержденных веб-сайтов.
- Реализуйте список одобренных доменов, включая домены HTTPS, чтобы пользователи могли получать доступ только к доверенным доменам. Это не предотвратит попутных загрузок, но предотвратит загрузку вторичных вредоносных веб-сайтов.
- Установите и обновляйте антивирусное программное обеспечение, способное сканировать интернет-трафик и обнаруживать эксплойты.
