Drive-by Download
From IT Wiki
사용자가 의도치 않은 상황에서 사용자도 모르게 악성코드가 다운로드 되는 침해유형을 가리킨다.
과정
- 사용자가 특정 웹페이지를 연다.
- location.href, window.open,iframe 등을 이용해 페이지가 리다이렉션 된다.
- 추적이 어렵도록 리다이렉션 된 페이지에서 여러 번 더 리다이렉션이 이루어질 수 있다.
- 난독화된 스트링을 이용해 탐지를 피하면서, 난독화된 스트링을 조합하고 복호화하여 악성 페이지로 이동시킨다.
- 리다이렉션 된 페이지에서 악성코드가 다운로드 된다.
- object, embed 와 같은 숨김 객체를 이용하기도 한다.
대응
정적 분석
- 패턴 매칭 : 웹 페이지 내 포함된 셸코드, 유포에 사용되는 특정 문자열을 기준으로 탐지한다.
- 메타정보 분석 : 웹페이지의 URL, DNS, IP, 국가정보 등을 기준으로 탐지한다.
동적 분석
- DOM 파싱 : 웹페이지의 DOM 구조를 분석하여 비정상적인 리다이렉션 및 숨김 객체를 감지한다.
- 스크립트 에뮬레이션 : 스크립트의 실행 결과를 미리 돌려보거나 예측하여 탐지한다.
- 가상머신 기반 검증 : 최종 웹페이지의 다운로드 및 다운로드 후 시스템 변화를 감지한다.