Drive by download (CVE-2016-0189) 공격 정리

Drive by download (CVE-2016-0189) 공격
 
- "웹이 갖고 있는 취약한 보안 상태를 활용해 악성코드를 심어놓은 방법"
- 스크립팅 엔진 메모리 손상 취약점 분석

 

현재는 드라이브-바이 다운로드를 '스크립트 등을 매개로 웹 사이트 방문 시 사용자의 인식(동의) 없이 자동으로

악성코드를 다운로드하고 실행하는 현상'으로 정의한다.

 

아래와 같은 시나리오로 DBD 공격이 이루어질 수 있다.

 Drive-By-Download와 같이 사용되는 것은 "난독화"이다.

페이지 이동 및 악성코드 유포에 대한 대부분의 진행은 스크립트 코드를 통해 이루어지기 때문에 

해당 코드를 최대한 알기 어렵게 하기 위해서는 난독화를 진행해야한다.

 

 

원리

 

1. 사용자가 취약점이 있는 웹사이트 또는  크래커가 만든 사이트를 들어가게 됩니다.

2. 취약점이 있는 웹사이트 또는 크래커가 만든 사이트에는 스크립트 코드 등을 이용하여 악성코드가 있는 웹으로 이동시킵니다. 이때 이 악성코드가 있는 웹이 있는 곳을 안 들키기 위해서, 여러 가지 경유 사이트를 만들어 놓습니다.

3. 악성코드가 있는 웹에서 자기도 모르게 들리게 되어 악성코드를 다운로드 받게 됩니다.

*주로 사용되어진 스크립트 코드
*페이지 자유 이동
<iframe>, <frame>, <javascript> 등을 사용하여 사용자 행위 없이 페이지 이동이 가능하도록 기존 웹페이지에 삽입
*악성코드 유포
<object>, <embed> 등의 태그를 이용하여 숨김 객체 삽입

 

예방법

 

1. 신뢰할 수 없는 사이트 방문을 피한다.

2. 사용하고 있는 PC의 운영체제 및 웹브라우저의 보안 패치를 철저히 한다.

3. 백신 소프트웨어를 설치하고 항상 최신으로 업데이트한다.

4. 이메일 내용에서 접속을 유도하는 사이트에는 접속하지 않도록 한다.

5. 일부 웹브라우저에서 제공하는 'Script 실행 방지 기능'을 사용한다.

---

출처

 

https://m.post.naver.com/viewer/postView.nhn?volumeNo=10304562&memberNo=3326308 

지나가다 웬 날벼락?! 드라이브 바이 다운로드 공격 알아보기

https://m.blog.naver.com/netandhi/221397627150

[IT 이슈] 나도 모르게 감염되는 악성코드! 드라이브 바이 다운로드 공격