Drive-by Download

IT위키
인쇄용 판은 더 이상 지원되지 않으며 렌더링 오류가 있을 수 있습니다. 브라우저 북마크를 업데이트해 주시고 기본 브라우저 인쇄 기능을 대신 사용해 주십시오.

사용자가 의도치 않은 상황에서 사용자도 모르게 악성코드가 다운로드 되는 침해유형

과정

  1. 사용자가 특정 웹페이지를 연다.
  2. location.href, window.open,iframe 등을 이용해 페이지가 리다이렉션 된다.
  3. 추적이 어렵도록 리다이렉션 된 페이지에서 여러 번 더 리다이렉션이 이루어질 수 있다.
    • 난독화된 스트링을 이용해 탐지를 피하면서, 난독화된 스트링을 조합하고 복호화하여 악성 페이지로 이동시킨다.
  4. 리다이렉션 된 페이지에서 악성코드가 다운로드 된다.
    • object, embed 와 같은 숨김 객체를 이용하기도 한다.

대응

정적 분석

  • 패턴 매칭 : 웹 페이지 내 포함된 셸코드, 유포에 사용되는 특정 문자열을 기준으로 탐지한다.
  • 메타정보 분석 : 웹페이지의 URL, DNS, IP, 국가정보 등을 기준으로 탐지한다.

동적 분석

  • DOM 파싱 : 웹페이지의 DOM 구조를 분석하여 비정상적인 리다이렉션 및 숨김 객체를 감지한다.
  • 스크립트 에뮬레이션 : 스크립트의 실행 결과를 미리 돌려보거나 예측하여 탐지한다.
  • 가상머신 기반 검증 : 최종 웹페이지의 다운로드 및 다운로드 후 시스템 변화를 감지한다.