D betűs definíciókInternet fogalmakKiberbiztonság

Drive-By Download: a jelenség magyarázata és a védekezés módjai

A drive-by download egy veszélyes internetes jelenség, amikor egy weboldal vagy reklám automatikusan letölt rosszindulatú programokat a felhasználó tudta nélkül. A cikk bemutatja, hogyan működik ez a támadás, és tippeket ad a védekezéshez, hogy biztonságban maradjunk online.
ITSZÓTÁR.hu
By ITSZÓTÁR.hu
38 Min Read
Gyors betekintő

A digitális térben való navigáció mindennapjaink szerves részévé vált, ám ezzel együtt járnak azok a rejtett veszélyek is, amelyek láthatatlanul leselkednek ránk. Ezek közül az egyik leginsidiousabb fenyegetés a drive-by download, egy olyan kiberbűnözési technika, amely a felhasználó tudta vagy beleegyezése nélkül, automatikusan tölt le és telepít rosszindulatú szoftvereket az eszközre. Ez a láthatatlan támadás jelentős kihívást jelent mind az egyéni felhasználók, mind a vállalatok számára, hiszen a felismerése és az ellene való védekezés speciális ismereteket és proaktív intézkedéseket igényel.

A fogalom maga is a támadás spontán, „elhaladó” jellegére utal: akárcsak egy autós, aki elhaladva lead valamit, a támadó is észrevétlenül juttatja el a kártékony kódot a célpont eszközére, pusztán azáltal, hogy az áldozat egy fertőzött weboldalt meglátogat. Nincs szükség kattintásra, letöltési gombra, vagy bármilyen explicit felhasználói interakcióra. A folyamat a háttérben zajlik, kihasználva a webböngészők, böngésző-kiegészítők vagy az operációs rendszer ismert vagy ismeretlen (zero-day) biztonsági réseit. Ez a fajta támadás különösen veszélyes, mivel a felhasználó gyakran csak akkor szembesül a problémával, amikor már megtörtént a baj: az eszköz lelassul, gyanús viselkedést mutat, vagy adatai kompromittálódtak.

A drive-by download nem egy új keletű jelenség, története egészen az internet hőskoráig nyúlik vissza, és az online technológiák fejlődésével párhuzamosan folyamatosan adaptálódott. Kezdetben főként a böngészők és a média lejátszók sebezhetőségeit aknázta ki, ma már azonban sokkal kifinomultabb és komplexebb módszereket alkalmaz. A célja is diverzifikálódott: a kezdeti kémprogramok és adware programok mellett ma már gyakori a zsarolóvírusok (ransomware), az adatlopó trójaiak, a botnetekbe való beszervezés, sőt, akár kriptovaluta bányász malware-ek telepítése is. Ez a cikk részletesen bemutatja a drive-by download jelenségét, annak működési mechanizmusait, a felismerés módjait és a leghatékonyabb védekezési stratégiákat, segítve ezzel a felhasználókat és a szervezeteket abban, hogy felkészülten nézzenek szembe ezzel a modern kiberfenyegetéssel.

A támadás mechanikája: hogyan működik a motorháztető alatt?

A drive-by download támadások mögött komplex technikai folyamatok állnak, amelyek a webes infrastruktúra és a szoftverek sebezhetőségeit aknázzák ki. A támadók célja, hogy a célzott eszközre a felhasználó tudta és beleegyezése nélkül juttassanak fel rosszindulatú kódot, kihasználva a rendszer gyenge pontjait. Ennek megértéséhez boncoljuk fel a folyamatot lépésről lépésre.

Sebezhetőségek kihasználása

A drive-by download támadások alapját képezik a szoftveres sebezhetőségek. Ezek olyan hibák vagy hiányosságok a programkódban, amelyek lehetővé teszik a támadók számára, hogy a szoftver rendes működését megkerülve, jogosulatlan műveleteket hajtsanak végre. A leggyakrabban kihasznált sebezhetőségi pontok a következők:

  • Böngésző sebezhetőségek: A webböngészők, mint a Google Chrome, Mozilla Firefox, Microsoft Edge vagy Safari, rendkívül komplex szoftverek, amelyek folyamatosan fejlődnek. A kódjukban található apró hibák (például memóriakezelési problémák, puffer túlcsordulások) lehetőséget adhatnak a támadóknak a tetszőleges kód végrehajtására. Amikor egy felhasználó meglátogat egy fertőzött oldalt, a böngésző letölti és értelmezi az oldal tartalmát, beleértve a rosszindulatú JavaScript kódot is, amely kihasználja a sebezhetőséget.
  • Kiegészítők és bővítmények: Korábban a Flash Player, Java Runtime Environment (JRE) és az ActiveX vezérlők voltak a leggyakoribb célpontok. Ezek a böngészőn kívüli, de a böngészővel szorosan együttműködő programok gyakran tartalmaztak súlyos sebezhetőségeket. Bár ma már ezeket a technológiákat nagyrészt kivonták a forgalomból vagy korlátozták a használatukat, más böngésző-kiegészítők, mint például a PDF olvasók vagy a videólejátszók továbbra is potenciális belépési pontot jelenthetnek, ha nincsenek naprakészen tartva.
  • Operációs rendszer sebezhetőségek: Ritkábban, de előfordulhat, hogy maga az operációs rendszer (Windows, macOS, Linux) tartalmaz olyan hibát, amelyet a drive-by download támadás során ki lehet használni. Ebben az esetben a böngésző csak egy közvetítő, amelyen keresztül a támadó eljut az operációs rendszerhez, hogy ott hajtsa végre a kódját.

Exploit kitek: a támadások motorjai

Az exploit kitek olyan szoftvercsomagok, amelyeket a kiberbűnözők arra használnak, hogy automatizálják a sebezhetőségek felkutatását és kihasználását. Ezek a kitek általában több exploitot tartalmaznak, amelyek különböző szoftverek és verziók gyenge pontjait célozzák. A támadás menete a következő:

  1. Felderítés: Amikor egy felhasználó meglátogat egy exploit kit által vezérelt weboldalt (legyen az egy kompromittált legális oldal vagy egy direkt rosszindulatú), az exploit kit először felméri a látogató rendszerét. Megvizsgálja a böngésző típusát és verzióját, az operációs rendszert, a telepített kiegészítőket (pl. Flash, Java, PDF olvasó), és más szoftvereket.
  2. Exploit kiválasztása: A felderített információk alapján az exploit kit kiválasztja azt a sebezhetőséget, amelyre az áldozat rendszere a leginkább fogékony, és amelyhez rendelkezik megfelelő exploittal.
  3. Kihasználás és payload letöltése: Az exploit kit ekkor megpróbálja kihasználni a kiválasztott sebezhetőséget. Ha sikeres, ez lehetővé teszi számára, hogy csendesen letöltsön és végrehajtson egy rosszindulatú programot (ezt hívjuk payloadnak) az áldozat gépén. Ez a payload lehet bármi: zsarolóvírus, banki trójai, billentyűzetfigyelő (keylogger), vagy egy botnetbe beszervező szoftver.

A legnevesebb exploit kitek közé tartozott korábban az Angler, a Blackhole, a Nuclear, vagy a Rig. Bár ezek az eszközök folyamatosan fejlődnek és változnak, a mögöttük rejlő alapelv – az automatizált sebezhetőség-kihasználás – változatlan marad.

„A drive-by download támadások a kiberbiztonság láthatatlan ellenségei, amelyek a felhasználói interakció hiányából merítik erejüket, a szoftveres sebezhetőségeket kihasználva csendesen fertőznek.”

A fertőzés folyamata lépésről lépésre

A drive-by download támadás egy láncolat, amely több, egymásra épülő lépésből áll:

  1. A felhasználó eljut egy fertőzött weboldalra: Ez többféleképpen történhet. A leggyakoribb forgatókönyvek:

    • Kompromittált legális weboldal: A támadók betörnek egy legitim, népszerű weboldalra (pl. egy híroldalra, blogra, webshopra) és rosszindulatú kódot injektálnak annak forráskódjába. Ez a kód gyakran egy rejtett iframe (beágyazott keret) formájában jelenik meg, amely egy másik, a támadó által ellenőrzött szerverről tölt be tartalmat.
    • Malvertising (rosszindulatú hirdetések): A támadók megvásárolnak hirdetési helyeket legitim hirdetési hálózatokon, de a hirdetéseik nem termékeket reklámoznak, hanem rosszindulatú kódot tartalmaznak, amely azonnal átirányítja a felhasználót egy exploit kit szerverére, amint a hirdetés betöltődik a böngészőben.
    • Keresőoptimalizálási mérgezés (SEO poisoning): A támadók hamis, rosszindulatú weboldalakat hoznak létre, amelyeket úgy optimalizálnak, hogy a keresőmotorok találati listáján előkelő helyen szerepeljenek népszerű vagy aktuális témákra (pl. hírességek, sportesemények, szoftverfrissítések) keresve.
    • Typosquatting: A támadók olyan domain neveket regisztrálnak, amelyek nagyon hasonlóak népszerű weboldalak nevéhez (pl. „google.com” helyett „gooogle.com”). Ha a felhasználó véletlenül elgépeli a címet, egyből a rosszindulatú oldalra jut.
  2. Redirektek és az exploit kit felderítése: Amint a felhasználó böngészője betölti a fertőzött oldalt, a beágyazott rosszindulatú kód automatikusan átirányítja a böngészőt egy exploit kit landolási oldalára. Ez az oldal végzi el a felhasználó rendszerének felmérését, ahogy azt fentebb részleteztük.
  3. Az exploit kód végrehajtása: Az exploit kit a felmérés alapján kiválasztja a megfelelő exploitot, és megkísérli annak végrehajtását a böngészőn vagy a kiegészítőn keresztül. Ha az exploit sikeresen kihasználja a sebezhetőséget, tetszőleges kódot futtathat a felhasználó rendszerén.
  4. A payload letöltése és végrehajtása: Az exploit által végrehajtott kód feladata, hogy csendesen letöltse a tényleges rosszindulatú szoftvert (a payloadot) a támadó szerveréről, majd elindítsa azt a felhasználó gépén. Ez a payload már a konkrét célzott kártevő, például egy zsarolóvírus, egy banki trójai, vagy egy kémprogram. A folyamat teljes egészében a háttérben zajlik, a felhasználó semmilyen értesítést nem kap róla, és gyakran még a böngésző sem mutat semmilyen rendellenes viselkedést.

Ez a zökkenőmentes és láthatatlan folyamat teszi a drive-by downloadot az egyik legveszélyesebb támadási módszerré, mivel a felhasználó öntudatlanul válik áldozattá, pusztán azáltal, hogy böngészik az interneten.

A drive-by download típusai és céljai

A drive-by download támadások nem egyetlen, homogén kategóriát alkotnak; sokféle formában jelennek meg, és céljaik is rendkívül diverzifikáltak. A támadók folyamatosan új módszereket dolgoznak ki a terjesztésre és a kártevők célba juttatására. Ebben a részben a leggyakoribb típusokat és a mögöttes motivációkat vizsgáljuk meg.

Főbb terjesztési típusok

Ahogy korábban említettük, a felhasználó valamilyen módon eljut egy olyan weboldalra, amely elindítja a drive-by download folyamatát. Ennek megvalósítására számos módszer létezik:

  • Malvertising (rosszindulatú hirdetések): Ez az egyik legelterjedtebb és leginkább alattomos módszer. A kiberbűnözők legitim hirdetési hálózatokon keresztül juttatják el rosszindulatú kódjukat. Ez azt jelenti, hogy még egy teljesen megbízható és népszerű weboldalon (pl. nagy hírportálon) megjelenő hirdetés is tartalmazhat olyan kódot, amely a háttérben átirányítja a böngészőt egy exploit kit landolási oldalára, anélkül, hogy a felhasználó rákattintana a hirdetésre. A malvertising kihasználja a hirdetési ökoszisztéma komplexitását és a hirdetések valós idejű betöltésének dinamikáját.
  • Kompromittált weboldalak: A támadók gyakran céloznak meg olyan legitim weboldalakat, amelyek rosszul konfiguráltak, elavultak, vagy szoftveres sebezhetőségeket (pl. elavult CMS – tartalomkezelő rendszer, mint WordPress, Joomla – vagy plugin hibák, SQL injekció, XSS sebezhetőségek) tartalmaznak. Miután betörtek az oldalra, rosszindulatú JavaScript kódot injektálnak a weboldal forráskódjába. Ez a kód általában észrevétlenül, egy rejtett