Атака drive-by download, или Тайная загрузка.

С каждым годом в браузерах появляются все новые инструменты для защиты пользователя. Популярные браузеры сегодня умеют отслеживать и предотвращать MITM-атаки, когда кто-то пытается втиснуться между пользователем и сайтом и перехватывать трафик, умеют обнаруживать фишинговые сайты и, конечно, обладают встроенными песочницами, защищая систему от атак веб-сайтов.


Но один метод сегодня работает так же эффективно, как и 10 лет назад,‒загрузить пользователю файл-приманку и дождаться, когда он сам ее откроет.

Drive-by download – атака, при которой загрузка происходит тайно при открытии жертвой веб-сайта. Однако подобный сайт довольно быстро будет замечен, особенно если он массово начнет загружать пользователям вредоносные файлы. Потому злоумышленники часто применяют вариацию данной атаки, называемую drive-by login. Это все та же тайная загрузка, но происходящая после авторизации на сайте. Такая схема позволяет злоумышленникам долгое время скрываться от обнаружения специалистами в сфере безопасности и попадания в списки вредоносных сайтов.

Но на самом деле это больше теоретическая угроза: сегодня тайно загрузить файл не так просто, а вот без согласия пользователя – элементарно. Этим и пользуются злоумышленники.

Все знают, что компьютер можно заразить при помощи вредоносного программного обеспечения, замаскированного под файлы pdf или word. Так заражают простых пользователей, компании, политиков, публичных деятелей, но для этого нужно как минимум одно условие: файл должен быть открыт на устройстве жертвы. Заставить жертву открыть файл – одна из ключевых задач злоумышленников.

Кстати, это не обязательно должно быть вредоносное программное обеспечение, замаскированное под документ, это может быть и сам документ, если офисный пакет содержит уязвимость. Для этого в арсенале злоумышленников должны быть уязвимости нулевого дня, либо программное обеспечение жертвы должно быть не обновлено и содержать известные уязвимости.

Вы знали о критической уязвимости в популярном офисном пакете. И это даже не MS Office, где уязвимости находятся регулярно, а LibreOffice – офисный пакет с открытым исходным кодом. Я, как и многие другие, рекомендую его в качестве альтернативы Microsoft Office, но в данном случае в нем была обнаружена критическая уязвимость, которая приводила к компрометации устройства жертвы при простом открытии документа.

Пользователи нередко опасаются, что сайты загрузят им файлы и эти файлы запустятся сами. Уверяю, сегодня это больше теоретическая угроза, куда реальнее эксплуатирование уязвимостей в браузере и выход за пределы песочницы, но это другой вид атаки, для осуществления которой атакующий должен обладать комплексом 0day уязвимостей для браузера и операционной системы, либо браузер и операционная система жертвы должны быть не обновлены и не защищены от известных уязвимостей.

А вот просто загрузить файл – несложно, и для этого есть масса способов. Иногда файл загружается на устройство вместе с другим файлом, который пользователь действительно хочет скачать, иногда применяется социальная инженерия, иногда скрипты автоматической загрузки, иногда баннеры, иногда iframe.

Iframe – это инструмент, позволяющий встраивать на страницу сайта какой-то элемент другой страницы или другого веб-сайта, например, при помощи iframe мы можем встраивать видео с YouTube на страницы других сайтов.

Но загрузить файл – это только половина дела, необходимо, чтобы жертва запустила его на своем устройстве, возможно, даже выдала права администратора. И вот здесь подключается социальная инженерия. Злоумышленники стараются дать файлу такое название, чтобы жертва заинтересовалась им, когда случайно обнаружит у себя в загрузках.

Большинство читателей наверняка знают, что скачанные файлы надо проверять на VirusTotal, открывать в виртуальной среде, онлайн или установленной песочнице. Но, как правило, относят это требование к только что скачанным файлам, а к файлам, которые уже какое-то время хранятся на устройстве, большинство пользователей испытывают ничем не обоснованное доверие.

Нередко папка с загрузками чистится, только когда на диске начинает заканчиваться место, либо при переустановке системы или смене компьютера. Естественно, в таком случае пользователь не знает и не помнит, когда и какие файлы он качал, насколько они надежные и проверялись ли на вредоносное ПО.

Из этой главы вы должны вынести два правила, которые могут показаться вам банальными, но именно на таких банальных правилах и строится комплексная безопасность. Первое правило – порядок в папке «Загрузки». Если у вас там файлы беспорядочно хранятся месяцами, наведите порядок, удалив все ненужное. Вы должны четко знать, какие файлы и зачем хранятся у вас в папке «Загрузки».

Вторая полезная привычка – не доверять файлам из папки с загрузками больше, чем только что скачанным из сети. Открывать их следует только в безопасной среде или виртуальной операционной системе, а если файл не является секретным документом и вы не боитесь им поделиться, обязательно проверяйте на сайте VirusTotal.