Co je to drive-by download malware a jak se mu bránit

Drive-by download malware je škodlivý kód začleněný útočníkem do webové stránky nebo HTML mailu, který se do zařízení oběti stáhne v okamžiku, kdy si ji oběť ve svém prohlížeči zobrazí.

K začlenění tohoto malwaru do webových stránek dochází buď přímou kompromitací daného webu, nebo je škodlivý kód doručen reklamním systém či jiným obsahem dodávaným třetí stranou.

Tento škodlivý kód, obvykle jednoduchý JavaScript, zprvu nic škodlivého nedělá, jen detekuje SW běžící na počítači návštěvníka daných stránek, především verzi operačního systému, prohlížeče včetně pluginů a dále pak verzi Javy nebo Flashe.

Následně pak z jiného serveru stáhne Java applet nebo flashovou animaci, která obsahuje exploit zneužívající zranitelnosti dané verze, což v konečném důsledku vede ke stažení spustitelného souboru, zapsání na disk počítače a jeho spuštění.

Uživatel nemusí na nic klikat, stačí, když pouze navštíví server, který byl kompromitován, a na kterém se škodlivý obsah nachází. Jak se tedy před tímto škodlivým kódem bránit?

Udržujete svůj software aktualizovaný

Rozhodně byste měli aktualizovat OS, prohlížeč a případné pluginy, Java, Flash, aby nemohlo být zneužito známých zranitelností. To by mělo ve většině případů stačit, protože útoky zneužívající zranitelnosti nultého dne (zero day vulnerabilities) se na celkovém počtu útoků podílejí jen 1% a jsou zneužívány především k APT útokům, což je celkem logické, protože je zde patrná snaha danou zranitelnost co nejlépe zpeněžit.

Používejte nějaký antivirus

Žádný současný antivirus vás neochrání před novými hrozbami a zero day útoky. Ovšem jak již bylo řečeno výše, drtivá většina útoků zneužívá známých zranitelností, takže je zde poměrně velká šance, že váš antivirus škodlivý kód zachytí.

Spouštějte prohlížeč v sandboxu

Dalším možným řešením by mohlo být spouštět prohlížeč v sandboxu. Možná to je paranoidní, ale předpokládejme, že prohlížeč zpracovává jednotlivé stránky v sandboxu a pokud se podaří škodlivému kódu z tohoto sandboxu uniknout, narazí na další sandbox, který s prohlížečem nemá nic společného. Je to jako když máte pískoviště na dětském hřišti a to je ještě oplocené.

Zakažte JavaScript

Mohlo by se zdát, že dalším poměrně účinným řešením je zakázat spouštění JavaScriptu na vybraných stránkách, ovšem pokud bude škodlivý kód umístěn v Javě nebo Flashi, bez ohledu na to, aniž by předem probíhala nějaká detekce nainstalovaných verzí, tak vás ani vypnutý JavaScript neochrání.

Nesurfujte pod účtem administrator

A podobně neúčinné je i doporučení nesurfovat pod administrátorským účtem nebo alespoň spouštět prohlížeč s omezenými právy, což je sice dobrá rada, ale infekci zabrání tak v 50% případů.

Používejte Linux

Tohle je též dobrá rada, ale pokud používáte MS Windows, tak vám nejspíš moc nepomůže, protože pravděpodobně nepřejdete na Linux jen proto, že je na něj vedeno méně útoků.

Surfujte jen po důvěryhodných webech

Je pravda, že na stránkách, na kterých se nachází warez, a které využívají služeb nějakých pochybných reklamních společností, je pravděpodobnost, že se na nich bude nacházet škodlivý kód, výrazně vyšší. Ovšem napadeny byly i důvěryhodné weby a důvěryhodní poskytovatelé reklamního obsahu, takže i když se budete tímto doporučením řídit, tak riziko sice snížíte, ale pořád zde bude.

Omezte spuštění škodlivého SW

V operačním systému MS Windows XP Professional a Vista, můžete aktivovat funkci zásady omezení softwaru (Software Restriction Policies, zkr. SRP). Od verze MS  Windows 7 se pak tato technologie nazývá AppLocker a umožňuje definovat, které programy se mohou spouštět, a které nikoliv. Více informací je uvedeno v tomto samostatném příspěvku.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Co je to drive-by download malware a jak se mu bránit” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: