درایو بای دانلود یا Drive by download نوعی از حملات سایبری است که از ضعفهای امنیتی و به طور خاص آسیبپذیری های مرورگر های وب، پلاگین ها، افزودنی ها و هر چیزی که با مرورگر وب مرتبط باشد استفاده می کنند. در این مقاله شما را با حمله درایو بای دانلود و روش های مقابله با آن آشنا خواهیم کرد، همراه داتیس نتورک باشید.
حمله Drive by download چیست؟
درایو بای دانلود نوعی از حملات سایبری است که از ضعفهای امنیتی و به طور خاص آسیبپذیری های مرورگر های وب، پلاگین ها، افزودنی ها و هر چیزی که با مرورگر وب مرتبط باشد استفاده می کنند.
منظور از درایو بای دانلود ، download غیرعمدی ویروس یا نرم افزار مخرب (بدافزار) بر روی رایانه یا دستگاه همراه شما است.
Drive by download توسط مرورگر ، برنامه یا سیستم عاملی که از رده خارج شده و دارای نقص امنیتی است انجام می شود.
حمله درایو بای دانلود طراحی شده که یکی از 3 کار زیر را انجام دهد:
- هایجک کردن دستگاه – برای ساختن یک بتنت، آلوده کردن دستگاههای دیگر، یا نفوذهای بیشتر.
- جاسوسی فعالیتهای کاربر – سرقت اطلاعات مهم، مالی یا سرقت هویت.
- از بین بردن دادهها یا از کار انداختن دستگاه – اذیت کردن و به دردسر انداختن کاربر.
بدون نرمافزارهای امنیتی و همچنین به روز نبودن سیستم عامل و اپلیکیشنهای روی دستگاه به راحتی میتوانید قربانی این حمله شوید.
با استفاده از این حملات به راحتی میتوان روی کامپیوترهای کاربران اینترنتی طیف وسیعی از بدافزارها، ویروسها، جاسوسافزارها، نرمافزارهای کنترلکننده سیستم و… را نصب و اجرا کرد.
خطر این نوع حملات نیز به این خاطر بیشتر و درصد موفقیتشان بالاتر است که تحت یک پیشنهاد به کاربر، به سادگی اجازه نصب انواع برنامهها را بدون متوجه شدن خود کاربر از او دریافت میکنند.
هکرها از روشهای مختلفی برای نصب یک بدافزار روی سیستم شما استفاده می کنند.
در روش نخست هنگام گشتزنی در اینترنت و بازدید یک سایت ممکن است یک بدافزار به سرعت و بدون جلب توجه شما روی سیستم نصب شود.
شرکتهای امنیتی نزدیک به چهار میلیون صفحه وب و بیش از چهارصد سایت آلوده را در اینترنت شناسایی کردهاند که باز کردن آنها در یک مرورگر وب میتواند یک بدافزار را روی سیستم نصب کند.
روش دیگر انجام حمله های Drive-by Downloads استفاده از تبلیغات اینترنتی و Pop Up است.
که در هنگام بازدید از یک سایت باز میشوند و شما را به کلیککردن ترغیب می کنند.
شرکتهایی مانند گوگل و مایکروسافت به طور کلی این نوع تبلیغات را ممنوع کردهاند. یکی از سادهترین روشهای نصب نرمافزار روی ویندوز استفاده از تبلیغات است.
زیرا کاربران به سادگی حاضر میشوند روی آنها کلیک کنند، در حالی که نمیدانند با این کلیک اجازه نصب یک برنامه را دادهاند.
روش دیگر برای نصب بدافزار از طریق مرورگر وب کمک گرفتن از ضدویروسها است.
شما وارد یک سایت میشوید و با پیغام «ضدویروس شما بهروز نیست» یا «اعتبار ضدویروس شما تمام شده است» مواجه میشوید.
سایت از شما میخواهد با کلیک کردن روی یک دکمه به طور رایگان ضدویروس خود را بهروزرسانی یا تمدید اعتبار کنید.
در این مواقع هکرها با نوشتن برنامهای که میتواند ضدویروس شما را شناسایی کرده و در پیغام نمایش دهد، کاربر را تشویق به کلیککردن میکند.
طبق گزارشهایی که شرکتها ارائه کردهاند این روش در بیشتر مواقع بسیار کارا بوده و کاربر را فریب میدهد.
حمله Drive-by-download چگونه کار میکند؟
تا اینجا فهمیدیم که حمله درایو بای دانلود چیست، اما چگونه کار میکند؟ بیشتر قربانیان این حمله اصلا متوجه نمیشوند که چگونه دستگاهشان آلوده به بدافزار شد.
دو راه اصلی برای آلوده کردن دستگاه در این حمله وجود دارد:
کاربر روی لینکی کلیک میکند، مانند لینک هشدار جعلی امنیتی.
به سادگی از وبسایتی بازدید میکنید و دستگاه آلوده میشود، میتواند یک وبسایت کاملا قانونی باشد مانند خبرگزاریهای رسمی. در این راه روی وبسایت از اکسپلویت کیتها استفاده میشود که دستگاههای شامل آسیبپذیری و ضعف امنیتی را شناسایی و آلوده میکنند. این آسیبپذیری میتوانند روز صفر باشند یا صرفا نرمافزارهایی که به روز رسانی نشده اند.
چگونه با حملات درایو بای دانلود مقابله کنیم؟
برای مقابله با این نوع حملات میتوانید از روشهای زیر استفاده کنید:
1- بهروزرسانی نرمافزارها
تقریباً تمام کارشناسان امنیتی معتقدند بهترین روش برای مقابله با حمله های Drive by Download بهروز نگاهداشتن ضدویروس، مرورگر وب، گجتها و افزودنیهایی است که روی مرورگرهای وب نصب شدهاند.
البته بهروزر بودن سیستمعامل و دیگر نرمافزارها نیز الزامی است.
همیشه سعی کنید جاوا، فلش، ادوبی فلش پلیر، نوار ابزارهای مرورگرهای وب و نرمافزارهای افزایش سرعت دانلود را بهروز نگه دارید و وصلههای امنیتی منتشر شده را نصب کنید.
زیرا این وصلهها، نقاط ضعف و به خصوص حفرههای امنیتی را برطرف می کنند.
2- نصب NoScript روی فایرفاکس
این افزودنی رایگان و اپنسورس اجرای کدهای جاوا، جاوااسکریپت و فلش را تنها به سایتهایی که مورد اعتماد شما هستند (مثلاً سایت بانکی شما) محدود میکند.
به اعتقاد برنت (Brandt) از شرکت Solera Networks فایرفاکس بدون NoScript یعنی دعوت از حملات Drive-by Downloads. این کارشناس امنیتی میگوید :«دو ماه پیش در وبلاگ شرکت نوشته بودم که وبگردی بدون استفاده از ابزارهایی مانند NoScript در ویندوز بسیار خطرناک است و امکان حمله روی مرورگرهای وب را فراهم میکند.»
3- نصب نرمافزار وب فیلترینگ
محصولات وب فیلترینگ میتوانند کاربران را از ورود به سایتهای آلوده یا کلیک روی لینکهای مخرب منع کنند و جلوی وقوع حملاتی مانند Drive by Download را بگیرند.
در این نرمافزارها از مکانیزمهایی استفاده شده است که میتوانند کدهای یک صفحه وب را اسکن کرده و کدهای آلوده و مخرب را شناسایی کنند.
به گزارش شرکت امنیتی Barracuda بسیاری از کاربران نه تنها دوست ندارند نرمافزارهای وب فیلترینگ را نصب کنند، بلکه قابلیتهای اینچنینی روی مرورگرهای وب خود را نیز غیرفعال می کنند.
چون این احساس را دارند که خودشان میتوانند بفهمند کدام سایت سالم و کدام سایت آلوده است.
در صورتی که یکی از روشهای رایج برای نصب بدفزارها استفاده از سایتهایی است که کمتر گمان میرود آلوده باشند.
4- غیرفعال کردن جاوا در PDF
برنت همچنین معتقد است که کاربران باید استفاده از جاوااسکریپت توسط PDF را در نرمافزارهای Adobe Reader غیرفعال کنند.
همچنین، به مدیران سیستم پیشنهاد میکند بهطور کلی جاوا را برای نرمافزارهای تحت شبکه غیرفعال کنند.
حداقل تا زمانی که وصلهای برای CVE-2011-3544 منتشر شود این اپلت در فایلهای Java Archive ذخیره شده و اجازه میداد اپلتهای آلوده دسترسی نامحدودی برای اجرای کدهای جاوا داشته باشند.
در واقع این اپلت یک بدفزار بود یا مانند یک بدافزار در شبکه فعالیت میکرد.
بسیاری از بدافزارها از جاوا برای نصب روی سیستم قربانی استفاده می کنند و به همین خاطر مدیریت درست جاوا میتواند یک روش مقابله بسیار موثر باشد.
5- نگهداری زبانهها در BLADE BLADE
سیستمی است که با بلوکهکردن تمامی حفرههایی که ممکن است توسط حمله های Drive-by Downloads در ویندوز استفاده شوند، سیستم کاربر را واکسینه میکند.
این نرمافزار توسط موسسه تحقیقاتی Georgia Tech and SRI International تهیه شده و هنوز در حال توسعه است.
نسخه نخست این نرمافزار به زودی منتشر خواهد شد.
BLADE سعی میکند زبانههای یک مرورگر آلوده باز نشده و قبل از گشوده شدن مورد بررسی قرار بگیرند.
6- عدم دسترسی مدیر سیستم
به توصیه اشمیت از موسسه JAS Global هیچگاه به کاربران شبکه دسترسیهای مدیر سیستم را ندهید: «منطقی است به هر کاربر دسترسی مدیر سیستم برای کامپیوترش را بدهید که شما را از بسیاری دردسرهای جانبی راحت میکند اما این کار به معنای مجوزدادن به بدافزارها برای نصب روی این کامپیوترها نیز هست.
زیرا تجربه ثابت کرده کاربران دوست دارند به اینترنت متصل شده و درایور یک قطعه سیستم یا انواع افزودنیها یا تصاویر پسزمینه را به دلخواه خود و بدون اجازه شما نصب کنند.» محدود کردن کاربران باعث میشود که مطمئن باشید بسیاری از حملات Drive by Downloads ناکام خواهند ماند و اجازه نصب بدافزار به سیستم داده نخواهد شد.
امیدواریم مقاله آشنایی با حملات درایو بای دانلود یا Drive by download مفید بوده باشد.
داتیس نتورک را در شبکه های اجتماعی خصوصا تلگرام و توییتر دنبال کنید.