Drive-by Download: Difference between revisions

From IT Wiki
No edit summary
No edit summary
 
(One intermediate revision by the same user not shown)
Line 1: Line 1:
; 사용자가 의도치 않은 상황에서 사용자도 모르게 악성코드가 다운로드 되는 침해유형을 가리킨다.
사용자가 의도치 않은 상황에서 사용자도 모르게 악성코드가 다운로드 되는 침해유형


== 과정 ==
== 과정 ==

Latest revision as of 15:14, 21 September 2020

사용자가 의도치 않은 상황에서 사용자도 모르게 악성코드가 다운로드 되는 침해유형

과정[edit | edit source]

  1. 사용자가 특정 웹페이지를 연다.
  2. location.href, window.open,iframe 등을 이용해 페이지가 리다이렉션 된다.
  3. 추적이 어렵도록 리다이렉션 된 페이지에서 여러 번 더 리다이렉션이 이루어질 수 있다.
    • 난독화된 스트링을 이용해 탐지를 피하면서, 난독화된 스트링을 조합하고 복호화하여 악성 페이지로 이동시킨다.
  4. 리다이렉션 된 페이지에서 악성코드가 다운로드 된다.
    • object, embed 와 같은 숨김 객체를 이용하기도 한다.

대응[edit | edit source]

정적 분석[edit | edit source]

  • 패턴 매칭 : 웹 페이지 내 포함된 셸코드, 유포에 사용되는 특정 문자열을 기준으로 탐지한다.
  • 메타정보 분석 : 웹페이지의 URL, DNS, IP, 국가정보 등을 기준으로 탐지한다.

동적 분석[edit | edit source]

  • DOM 파싱 : 웹페이지의 DOM 구조를 분석하여 비정상적인 리다이렉션 및 숨김 객체를 감지한다.
  • 스크립트 에뮬레이션 : 스크립트의 실행 결과를 미리 돌려보거나 예측하여 탐지한다.
  • 가상머신 기반 검증 : 최종 웹페이지의 다운로드 및 다운로드 후 시스템 변화를 감지한다.