드라이브 바이 다운로드
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.
1. 개요
드라이브 바이 다운로드는 사용자가 악성 웹사이트를 방문하거나 악성 광고를 클릭하는 등 사용자의 개입 없이 악성 코드가 컴퓨터에 설치되도록 하는 공격 방식이다. 공격자는 악성 콘텐츠를 생성하고, 손상된 웹사이트나 서드 파티 서비스를 통해 이를 배포하며, 클라이언트의 장치 지문을 분석하여 취약점을 악용하는 코드를 맞춤화한다. 공격에는 API 악용, 셸코드 사용 등이 있으며, 난독화나 암호화를 통해 탐지를 피한다. 탐지 방법으로는 이상 징후 탐지, 셸코드 기록 탐지, 자바스크립트 실행 환경 구축 등이 있으며, NoScript와 같은 스크립트 차단기, 웹 프록시를 이용한 예방이 가능하다.
더 읽어볼만한 페이지
- 컴퓨터 바이러스 - 님다
2001년에 발견된 님다는 전자 우편, 네트워크 공유, 감염된 웹사이트, IIS 서버 취약점, 백도어 등 다양한 경로를 통해 빠르게 확산된 강력한 컴퓨터 웜으로, 이메일 읽기만으로도 감염될 수 있고 발신자 주소 위장이 가능하여 피해를 키웠다. - 컴퓨터 바이러스 - ILOVEYOU
ILOVEYOU는 2000년 5월 전 세계에 막대한 피해를 준 웜 바이러스로, "I LOVE YOU"라는 제목의 이메일과 악성 첨부파일, 사회 공학적 기법, 윈도우 시스템 취약점 등을 이용하여 빠르게 확산되어 컴퓨터 바이러스 역사상 가장 파괴적인 사례 중 하나로 기록되었다. - 취약점 공격 - 보안 취약점
보안 취약점은 시스템의 설계, 구현, 운영, 관리상 결함이나 약점으로, 위협에 의해 악용되어 시스템 보안 정책을 위반할 수 있는 요소이며, ISO 27005, IETF RFC 4949, NIST SP 800-30, ENISA 등 다양한 기관에서 정의하고 있다. - 취약점 공격 - 인터넷 보안
인터넷 보안은 사이버 위협, 악성 소프트웨어, 서비스 거부 공격 등으로부터 정보와 시스템을 보호하기 위해 네트워크 계층 보안, 다단계 인증, 방화벽 등 다양한 기술과 방법을 포괄한다.
| 드라이브 바이 다운로드 | |
|---|---|
| 악성코드 공격 | |
| 공격 유형 | 웹 기반 공격 |
| 목표 | 사용자 동의 없이 악성 코드를 다운로드하고 실행 사용자 시스템 감염 |
| 기술적 상세 정보 | |
| 공격 경로 | 감염된 웹사이트 방문 취약한 웹 브라우저 또는 플러그인 이용 악성 광고 (malvertising) |
| 작동 방식 | 웹사이트에 삽입된 악성 스크립트 (JavaScript 등) 브라우저의 보안 취약점 악용 자동 다운로드 및 실행 |
| 예방 및 대응 | |
| 예방책 | 웹 브라우저 및 플러그인 최신 버전 유지 보안 소프트웨어 (백신, 방화벽) 사용 신뢰할 수 없는 웹사이트 방문 자제 팝업 차단 기능 활용 |
| 탐지 방법 | 웹 트래픽 모니터링 행위 기반 탐지 평판 기반 필터링 |
| 관련 용어 | |
| 관련 용어 | 악성코드 (Malware) 익스플로잇 (Exploit) 애드웨어 스파이웨어 |
| 추가 정보 | |
| 참고 자료 | CNET News: Web surfers brace for pop-up downloads The H online: CSI:Internet - Episode 1 IEEE: Drive-By Download Attacks: A Comparative Study ACM: Anatomy of Drive-by Download Attack The H online: Exploit on Amnesty pages tricks AV software |
2. 공격 과정
드라이브 바이 다운로드 공격은 크게 세 단계로 이루어진다. 첫 번째는 악성 콘텐츠를 생성하고 호스팅하는 단계이다. 공격자는 자신의 서버를 이용하거나, 손상된 합법적인 웹사이트 또는 서드 파티 서비스를 통해 악성 콘텐츠를 배포한다. 두 번째는 클라이언트를 분석하고 취약점을 공격하는 단계이다. 공격자는 클라이언트의 장치 지문을 분석하여 맞춤형 코드로 클라이언트의 취약점을 노린다.
마지막 단계는 실제로 악성 행위를 수행하는 단계이다. 공격자는 취약점을 악용하여 드라이브 바이 다운로드 공격을 시작한다. 일반적으로 두 가지 전략이 사용된다. 첫 번째는 다양한 API 호출을 플러그인에 악용하는 것이다. 예를 들어, 시나(Sina) ActiveX 구성 요소의 DownloadAndInstall API는 매개변수 검증 미흡으로 인해 인터넷에서 임의의 파일을 다운로드 및 실행할 수 있었다. 두 번째는 셸코드를 메모리에 쓰고 웹 브라우저나 플러그인의 취약점을 악용하여 프로그램 제어 흐름을 셸 코드로 전환하는 것이다.[4] 셸 코드가 실행되면 공격자는 멀웨어를 다운로드 및 설치하는 등 추가적인 악의적인 활동을 수행할 수 있다.[3] 또한 공격자는 탐지를 피하기 위해 악성 코드 난독화(iframe 사용)나 암호화와 같은 방법을 사용하기도 한다.[3][4]
2. 1. 콘텐츠 호스팅
공격자는 악성 드라이브 바이 다운로드를 생성하기 위해 우선 공격에 사용할 악성 콘텐츠를 만들어야 한다. 무단 드라이브 바이 다운로드 공격에 필요한 취약점을 가진 익스플로잇 팩이 늘어나면서, 이러한 공격을 실행하는 데 필요한 기술 수준이 낮아졌다.[3]다음 단계는 공격자가 배포할 악성 콘텐츠를 호스팅하는 것이다. 한 가지 방법은 공격자가 자신의 서버에서 직접 악성 콘텐츠를 호스팅하는 것이다. 그러나 사용자를 새로운 페이지로 유도하기 어렵기 때문에, 공격자는 손상된 합법적인 웹사이트나 서드 파티 서비스(예: 광고)를 통해 자신도 모르게 악성 콘텐츠를 배포하는 합법적인 웹사이트를 이용하기도 한다. 콘텐츠가 클라이언트에 의해 로드되면, 공격자는 해당 클라이언트의 장치 지문을 분석하여 클라이언트에 특화된 취약점을 악용할 수 있도록 코드를 맞춤화한다.[4]
마지막으로, 공격자는 드라이브 바이 다운로드 공격을 시작하는 데 필요한 취약점을 악용한다. 드라이브 바이 다운로드는 일반적으로 두 가지 전략 중 하나를 사용한다. 첫 번째 전략은 다양한 API 호출을 플러그인에 악용하는 것이다. 예를 들어, 시나(Sina) ActiveX 구성 요소의 DownloadAndInstall API는 매개변수를 제대로 확인하지 않아 인터넷에서 임의의 파일을 다운로드하고 실행할 수 있었다. 두 번째 전략은 셸코드를 메모리에 쓰고 웹 브라우저나 플러그인의 취약점을 악용하여 프로그램의 제어 흐름을 셸 코드로 전환하는 것이다.[4] 셸 코드가 실행된 후, 공격자는 추가적인 악의적인 활동을 수행할 수 있다. 여기에는 종종 멀웨어를 다운로드하여 설치하는 것이 포함되지만, 정보를 훔쳐 공격자에게 다시 보내는 등 다양한 행위가 가능하다.[3]
공격자는 또한 공격 전반에 걸쳐 탐지를 피하기 위한 조치를 취할 수 있다. 한 가지 방법은 악성 코드의 난독화에 의존하는 것이다. 이는 iframe을 사용하여 수행할 수 있다.[3] 또 다른 방법은 탐지를 피하기 위해 악성 코드를 암호화하는 것이다. 일반적으로 공격자는 악성 코드를 암호문으로 암호화한 다음, 암호문 뒤에 복호화 방법을 포함한다.[4]
2. 2. 클라이언트 분석 및 취약점 공격
공격자는 악성 드라이브 바이 다운로드를 생성하기 위해 우선 공격에 사용할 악성 콘텐츠를 만든다. 익스플로잇 팩의 증가로 인해 공격 수행에 필요한 기술 수준이 낮아졌다.[3]다음으로, 공격자는 악성 콘텐츠를 호스팅한다. 공격자 자신의 서버를 이용하거나, 손상된 합법적인 웹사이트 또는 서드 파티 서비스 (예: 광고)를 통해 악성 콘텐츠를 배포하는 합법적인 웹사이트를 이용할 수 있다. 콘텐츠가 로드되면, 공격자는 클라이언트의 장치 지문을 분석하여 특정 취약점을 겨냥한 코드를 맞춤화한다.[4]
마지막으로, 공격자는 취약점을 악용하여 드라이브 바이 다운로드 공격을 시작한다. 일반적으로 두 가지 전략이 사용된다. 첫 번째는 다양한 API 호출을 플러그인에 악용하는 것이다. 예를 들어, 시나(Sina) ActiveX 구성 요소의 DownloadAndInstall API는 매개변수 검증이 미흡하여 인터넷에서 임의의 파일을 다운로드하고 실행할 수 있었다. 두 번째는 셸코드를 메모리에 쓰고 웹 브라우저나 플러그인의 취약점을 악용하여 프로그램 제어 흐름을 셸 코드로 전환하는 것이다.[4] 셸 코드가 실행되면 공격자는 멀웨어 다운로드 및 설치 등 추가적인 악의적인 활동을 수행할 수 있다.[3]
공격자는 탐지를 피하기 위해 악성 코드 난독화(iframe 사용)나 암호화 등의 방법을 사용하기도 한다.[3][4]
2. 3. 악성 행위 수행
공격자는 드라이브 바이 다운로드 공격을 수행하기 위해 우선 악성 콘텐츠를 생성한다. 익스플로잇 팩의 증가로 공격 수행에 필요한 기술 수준이 낮아졌다.[3]다음으로, 공격자는 악성 콘텐츠를 호스팅한다. 공격자는 자신의 서버를 이용하거나, 손상된 합법적인 웹사이트 또는 서드 파티 서비스 (예: 광고)를 통해 악성 콘텐츠를 배포한다. 콘텐츠가 로드되면, 공격자는 클라이언트의 장치 지문을 분석하여 맞춤형 코드로 클라이언트의 취약점을 노린다.[4]
마지막으로, 공격자는 취약점을 악용하여 드라이브 바이 다운로드 공격을 시작한다. 일반적으로 두 가지 전략이 사용된다. 첫 번째는 다양한 API 호출을 플러그인에 악용하는 것이다. 예를 들어, 시나(Sina) ActiveX 구성 요소의 DownloadAndInstall API는 매개변수 검증 미흡으로 인해 인터넷에서 임의의 파일을 다운로드 및 실행할 수 있었다. 두 번째는 셸코드를 메모리에 쓰고 웹 브라우저나 플러그인의 취약점을 악용하여 프로그램 제어 흐름을 셸 코드로 전환하는 것이다.[4] 셸 코드가 실행되면 공격자는 멀웨어를 다운로드 및 설치하는 등 추가적인 악의적인 활동을 수행할 수 있다.[3]
공격자는 탐지를 피하기 위해 악성 코드 난독화(iframe 사용)나 암호화와 같은 방법을 사용하기도 한다.[3][4]
드라이브 바이 다운로드는 주로 멀웨어와 같은 악성 도구를 은밀하게 다운로드하는 데 사용된다. 사용자가 웹 페이지나 웹사이트를 열람하는 것만으로 멀웨어가 자동으로 다운로드되거나 실행되어 설치될 수 있다. 또한, 사용자는 멀웨어 감염 여부를 알아차리기 어렵다.
실제로 기업 웹 페이지가 부정하게 개조되어 드라이브 바이 다운로드에 사용되는 스크립트나 코드가 삽입(인젝션)되어 불특정 다수에게 멀웨어를 감염시킨 사례도 있다.
드라이브 바이 다운로드 공격은 주로 웹 브라우저, OS 및 기타 서드파티 소프트웨어의 취약점 또는 보안 허점을 노린다. 따라서 공격을 회피하기 위해 바이러스 백신 및 방화벽 도입과 함께 웹 브라우저, OS 및 기타 서드파티 소프트웨어의 보안 패치 등을 적용하여 최신 상태를 유지하는 것이 중요하다.
2. 4. 탐지 회피
공격자는 공격 전반에 걸쳐 탐지를 피하기 위한 조치를 취할 수 있다. 한 가지 방법은 악성 코드의 난독화에 의존하는 것으로, iframe을 사용하여 수행할 수 있다.[3] 또 다른 방법은 탐지를 피하기 위해 악성 코드를 암호화하는 것이다. 일반적으로 공격자는 악성 코드를 암호문으로 암호화한 다음 암호문 뒤에 복호화 방법을 포함한다.[4]3. 탐지 및 예방
드라이브 바이 다운로드 공격은 주로 웹 브라우저, OS 및 기타 서드파티 소프트웨어의 취약점이나 보안 허점을 노린다. 따라서 이러한 공격을 피하기 위해서는 바이러스 백신 및 방화벽 도입과 함께 웹 브라우저, OS 및 기타 서드파티 소프트웨어의 보안 패치를 적용하여 항상 최신 상태를 유지하는 것이 중요하다.
3. 1. 탐지 방법
드라이브 바이 다운로드 공격의 탐지는 활발히 연구되는 분야이다. 탐지 방법 중 일부는 사용자가 웹 페이지를 방문하는 동안 사용자 컴퓨터 시스템의 상태 변화를 추적하는 이상 징후 탐지를 포함한다. 여기에는 웹 페이지가 렌더링될 때 사용자 컴퓨터 시스템의 이상 변화를 모니터링하는 작업이 포함된다. 다른 탐지 방법으로는 공격자의 익스플로잇에 의해 악성 코드(셸코드)가 메모리에 기록되는 시점을 탐지하는 방법이 있다. 또 다른 탐지 방법은 자바스크립트 코드를 실행하고 실행 중 동작을 추적할 수 있는 런타임 환경을 만드는 것이다. 다른 탐지 방법으로는 악성 웹 페이지를 식별하는 데 사용할 수 있는 기능을 식별하기 위해 HTML 페이지의 내용을 검사하고, 웹 서버의 특성을 사용하여 페이지가 악성인지 여부를 결정하는 방법이 있다.[3] 일부 백신 도구는 악성 스크립트의 패턴과 일치시키기 위해 정적 시그니처를 사용하지만, 난독화 기술로 인해 효과가 크지 않다. 또한, 낮은 상호 작용 또는 높은 상호 작용 허니클라이언트를 사용하여 탐지할 수도 있다.[4]드라이브 바이 다운로드는 NoScript와 같은 스크립트 차단기를 사용하여 발생하는 것을 예방할 수 있으며, 이는 Firefox와 같은 브라우저에 쉽게 추가할 수 있다. 이러한 스크립트 차단기를 사용하면 사용자는 주어진 웹 페이지의 모든 스크립트를 비활성화한 다음, 웹 페이지 기능에 실제로 필요한 스크립트를 하나씩 선택적으로 다시 활성화하여 확인할 수 있다. 그러나 일부 스크립트 차단 도구는 다른 웹 사이트의 일부를 손상시키는 등 의도하지 않은 결과를 초래할 수 있으며, 이는 다소 균형을 맞춰야 하는 문제이다.[5]
"Cujo"로 알려진 다른 형태의 예방은 웹 프록시에 통합되어 웹 페이지를 검사하고 악성 자바스크립트 코드의 전달을 차단한다.[6]
3. 2. 예방 방법
드라이브 바이 다운로드 공격을 예방하는 방법 중 하나는 NoScript와 같은 스크립트 차단기를 사용하는 것이다. 이러한 스크립트 차단기는 파이어폭스와 같은 브라우저에 쉽게 추가할 수 있다. 스크립트 차단기를 사용하면 사용자는 웹 페이지의 모든 스크립트를 비활성화하고, 필요한 스크립트만 선택적으로 다시 활성화할 수 있다. 그러나 일부 스크립트 차단 도구는 다른 웹 사이트의 일부를 손상시키는 등 의도하지 않은 결과를 초래할 수 있다.[5]"Cujo"로 알려진 다른 예방 방법은 웹 프록시에 통합되어 웹 페이지를 검사하고 악성 자바스크립트 코드의 전달을 차단하는 것이다.[6]
드라이브 바이 다운로드는 주로 웹 브라우저, OS 및 기타 서드파티 소프트웨어의 취약점이나 보안 허점을 노리는 방식으로 이루어진다. 따라서 드라이브 바이 다운로드 공격을 피하기 위해서는 바이러스 백신 및 방화벽 도입과 함께 웹 브라우저, OS 및 기타 서드파티 소프트웨어의 보안 패치를 적용하여 항상 최신 상태를 유지하는 것이 중요하다.
참조
[1]
논문
Drive-By Download Attacks: A Comparative Study
https://ieeexplore.i[...]
2016-09-01
[2]
웹사이트
Web surfers brace for pop-up downloads
http://news.cnet.com[...]
CNET News
2010-10-28
[3]
서적
Anatomy of Drive-by Download Attack
http://dl.acm.org/ci[...]
Australian Computer Society, Inc.
2013-01-01
[4]
서적
INetSec 2009 – Open Research Problems in Network Security
Springer Berlin Heidelberg
2009-01-01
[5]
웹사이트
What Is a Drive-by Download Malware Attack?
https://www.makeuseo[...]
2022-01-04
[6]
서적
Proceedings of the 26th Annual Computer Security Applications Conference
ACM
2010-12-06
[7]
문서
ドライブバイダウンロードとは
http://www2.olisys55[...]
[8]
문서
IT用語辞典バイナリ・ドライブバイダウンロードの解説
http://www.sophia-it[...]
[9]
문서
ドライブバイダウンロード:危険にさらされる Web - Kaspersky
http://www.viruslist[...]
[10]
웹인용
Exploit on Amnesty pages tricks AV software
http://www.h-online.[...]
Heinz Heise
2011-04-20
[11]
웹인용
Web surfers brace for pop-up downloads
http://news.cnet.com[...]
CNET News
2010-10-28
[12]
간행물
CSI:Internet - Episode 1
http://www.h-online.[...]
Heinz Heise
2010-08-05
본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.
문의하기 : help@durumis.com