簡介
路過式下載路過式下載(drive-bydownload)是一個在未經用戶同意或用戶未知的情況下自動下載到用戶的計算機上的程式。不像彈出式下載需要經人同意(儘管在計算方式下有可能導致“是”),在訪問網站或查看HTML電子郵件時候,路過式下載就有可能被啟動。如果用戶計算機的安全設定不嚴密,在用戶沒有進行任何進一步行動的時候,路過式下載就有可能發生。
路過式下載(drive-bydownload)通常與用戶需求軟體一起安裝。例如,一個檔案共享程式可能包括間諜軟體程式。為了進行針對性行銷,它能跟蹤和報告用戶信息。這樣相關的廣告軟體程式就可以利用這些信息產生彈出廣告。
Xupiter,InternetExplorer工具列程式,經常被當做路過式下載程式進行安裝。Xupiter程式能取代用戶的主頁,改變瀏覽器設定,並使用重定向來搜尋Xupiter網站。在某些版本,該程式能啟動其他程式的路過式下載程式。此外,雖然Xupiter有卸載工具,但大多數計算機用戶不能成功刪除它。
安全問題
2007年4月,谷歌的研究人員發現幾十萬個網頁能夠啟動路過式下載程式。有十分之一的網頁被發現是可疑的。在2008年,Sophos的研究人員報告說,他們發現每天有6000多個網頁被感染,大約每14秒一個。許多感染的網頁與殭屍網路連線,這樣就使電腦變成殭屍,它能進行更進一步的惡意活動,如垃圾郵件或DDoS攻擊。
一旦攻擊者在用戶計算機上安裝了惡意軟體,用戶的計算機中的所有信息以及計算機連線到的網路都將處於危險之中。在2011年接受卡巴斯基實驗室調查的所有企業中,有一半企業遭受過這種攻擊,並且造成部分數據丟失。
行為描述
路過式下載路過式下載(Drive-bydownload)是對網際網路上的一種行為的描述,一般表現為:
1、任何不希望用戶知曉的下載行為。
2、在用戶不知道的情況下下載間諜軟體、計算機病毒或者任何惡意軟體。路過式下載可能發生在用戶訪問一個網站、閱讀一封電子郵件、或者點擊一個欺騙性彈出式視窗的時候。例如,用戶誤以為這個彈出式視窗是自己的計算機提示錯誤的視窗或者以為這是一個正常的彈出式廣告,因此點擊了這個視窗。
攻擊原理
路過式下載主要通過利用web瀏覽器或瀏覽器內的外掛程式和其他組件中存在的漏洞來實現攻擊,並且可以採取多種方式。例如,你可能在隨心所欲地瀏覽網站時,突然進入一個攻擊者設計的網站,下載惡意軟體到你的計算機中,這種網站可能是攻擊者專為感染用戶計算機設計的網站,也可能是攻擊者通過漏洞攻擊的合法網站。Dasient公司(專門開發抵禦web惡意軟體攻擊的軟體)指出每個月都有超過40萬個網站的近4萬個網頁被惡意軟體感染。
另一種路過式下載是通過廣告網路。在2009年,紐約時報被攻擊者安插了一條假冒防病毒軟體的廣告,點擊廣告的用戶會被重定向到偽裝防毒軟體網站,並誘騙用戶輸入信用卡信息來購買防毒軟體。次年,谷歌和微軟的線上廣告網路也遭遇了同樣的攻擊。犯罪分子仍然在試圖使用廣告網路來散步惡意軟體,因為廣告網路能夠快速將惡意軟體安裝到很多人的電腦上。
還有一種路過式下載會提示用戶進行一項操作以允許惡意軟體控制他們的電腦。最常見的例子就是流氓防毒軟體。你在訪問網頁時,會突然看到一個彈出視窗,看起來像是你計算機中的合法防毒程式,該程式會告訴你它檢測到一個病毒,並要求你點擊進行免費病毒掃描。
雖然流氓防毒軟體的危害不小,但這並不是最大的威脅,因為IT部門會教育最終用戶不要落入這種陷阱。只有一些路過式下載攻擊需要依賴用戶的不慎點擊,那些完全獨立於用戶操作的攻擊才是最具破壞性的。
用戶訪問的每一千個網頁中有一個網頁是惡意的,並試圖對用戶執行一些漏洞利用攻擊。路過式下載攻擊可以悄無聲息的進行,只有一些路過式下載攻擊是可以避免的,越來越多的路過式下載攻擊無法避免。
盛行原因
路過式下載如此盛行是因為用於感染網站的攻擊工具包很容易在黑市上買到,這種攻擊包非常好用,並且是自動化的,讓攻擊者可以在儘可能多的伺服器上散播惡意軟體。
瀏覽器環境的日益複雜也是路過式下載攻擊盛行的原因之一。隨著瀏覽器外掛程式、附屬檔案的增加,就有更多漏洞可以供攻擊者利用。
通過創造性地使用JavaScript和其他腳本組件,惡意攻擊者可以成功利用這些漏洞,並讓他們隨心所欲地運行任何代碼。
惡意攻擊者通過路過式下載安裝的程式範圍包括:從讓用戶計算機崩潰的病毒到啟動和停止應用程式和瀏覽檔案系統的惡意PHP腳本。路過式下載還可以安裝間諜軟體、遠程訪問軟體、按鍵記錄軟體以及能夠在幾秒鐘內從計算機提取信息的木馬程式等。它可以將計算機變成殭屍網路,或者使計算機成為其分散式拒絕服務攻擊(DDoS)的一部分。
抵禦方法
保持軟體更新
為了免受路過式下載攻擊,IT部門可以採取的一個最重要的措施就是鼓勵用戶保持所有軟體的更新,特別是防毒軟體、瀏覽器以及所有外掛程式和附屬檔案,包括Java、Flash和AdobeAcrobat。
確保使用最新版本的瀏覽器和擴展是非常重要的,因為都習慣使用最新版本之前的版本,而大多數路過式下載攻擊都是利用較舊瀏覽器和外掛程式版本中存在的漏洞。AdobeAcrobat是最常用的過時外掛程式,也是惡意攻擊者最常利用的漏洞。
安裝軟體更新經常會對最終用戶造成滋擾,因為更新(尤其是windows系統)似乎會隨機彈出,打斷用戶的工作,並常常被用戶忽視。IT部門需要提醒最終用戶花五分鐘來安裝這些更新將大大降低通過路過式下載感染病毒而導致生產力下降的幾率。
安裝web過濾軟體
Web過濾產品可以阻止用戶訪問被路過式下載感染的網站,這些產品可能有內置機制來檢測網站是否安全,如果不安全,它們將阻止用戶訪問。有些產品則是尋找已知漏洞利用和路過式下載攻擊的跡象。
在火狐瀏覽器上安裝noscript
NoScript是一款免費開源附屬檔案,允許你只能訪問運行JavaScript、Java和Flash的受信任網站。使用具有NoScript的火狐瀏覽器能夠抵禦“很多”路過式下載。至少這是防止windows計算機通過路過式下載意外感染病毒的唯一的萬無一失的方法。
禁用Java
鼓勵用戶在其PDF閱讀器參數中禁用PDF文檔內的JavaScript。建議IT部門從他們控制的所有系統中卸載Java,至少在CVE-2011-3544漏洞被解決之前,這個存儲在Java歸檔檔案內的惡意Java應用程式允許未簽名的小應用程式可以不受限制地訪問運行任意Java代碼。
監視BLADE系統
BLADE代表阻止所有路過式下載漏洞利用(BlockAlldrive-bydownloadExploits),這是一個新興的windows免疫系統,能夠防止路過式下載攻擊感染有漏洞的windows計算機。該系統由GeorgiaTech和SRIInternational的研究人員開發而成,BLADEv1.0是免費的研究版本,不久將可供用戶下載使用。
不要授予用戶對計算機的管理員訪問許可權
當分配計算機給用戶使用時,精明的IT部門會為員工分配標準用戶賬戶,而不會授予最終用戶對其計算機的本地管理訪問許可權。
讓每個人擁有對其計算機的本地管理訪問許可權,這曾經是標準做法,從安裝驅動器的角度來看,這樣做讓事情更簡單,但同時這也意味著任何以軟體都能夠訪問該計算機。
限制用戶的訪問許可權能夠減輕惡意軟體的破壞程度,如果用戶打開瀏覽器,並且無意下載了惡意軟體,那么惡意軟體的破壞程度就被限制在了用戶層面,它並不能控制整個計算機。
調查數據
2012年9月6日,邁克菲發布《2012年第二季度邁克菲威脅報告》(McAfeeThreatsReport:SecondQuarter2012)。報告顯示,檢測到的惡意軟體樣本增幅創四年以來的新高。根據邁克菲實驗室的檢測,自2012年第一季度開始,惡意軟體數量增長了150萬,而類似移動“路過式下載”(Drive-bydownload)、使用Twitter控制移動殭屍網路以及移動“勒索軟體”等新的威脅也頻頻出現。
通過專門的研究和調查,邁克菲實驗室(McAfeeLabs)發現其惡意軟體樣本資料庫中的樣本數量呈現快速增長。惡意軟體樣本發現率也迅速增至每天約1萬個,也在此過程中識別了一系列影響全球各類用戶的重要惡意軟體變體。
邁克菲實驗室高級副總裁VincentWeafer表示:上一季度,已經有一些會對家庭用戶、企業用戶以及重要基礎設施造成影響的主要惡意軟體樣本。以前攻擊者的主要對象是PC,現在很多攻擊手段開始使用在其他終端設備上。例如,第二季度發現了以Macintosh設備為攻擊目標的Flashback惡意軟體,也發現了針對移動設備的綁架軟體和路過式下載等攻擊手段。
相關知識
電腦病毒
電腦病毒編制或者在電腦程式中插入的破壞計算機功能或者破壞數據,影響計算機使用並且能夠自我複製的一組計算機指令或者程式代碼被稱為計算機病毒(ComputerVirus)。具有破壞性,複製性和傳染性。
計算機病毒(ComputerVirus)在《中華人民共和國計算機信息系統安全保護條例》中被明確定義,病毒指“編制或者在電腦程式中插入的破壞計算機功能或者破壞數據,影響計算機使用並且能夠自我複製的一組計算機指令或者程式代碼”。而在一般教科書及通用資料中被定義為:利用計算機軟體與硬體的缺陷,由被感染機內部發出的破壞計算機數據並影響計算機正常工作的一組指令集或程式代碼。
