Drive-by Download: 두 판 사이의 차이
IT위키
(새 문서: ; 사용자가 의도치 않은 상황에서 사용자도 모르게 악성코드가 다운로드 되는 침해유형을 가리킨다. == 과정 == # 사용자가 특정 웹페이지...) |
편집 요약 없음 |
||
| 17번째 줄: | 17번째 줄: | ||
* 스크립트 에뮬레이션 : 스크립트의 실행 결과를 미리 돌려보거나 예측하여 탐지한다. | * 스크립트 에뮬레이션 : 스크립트의 실행 결과를 미리 돌려보거나 예측하여 탐지한다. | ||
* 가상머신 기반 검증 : 최종 웹페이지의 다운로드 및 다운로드 후 시스템 변화를 감지한다. | * 가상머신 기반 검증 : 최종 웹페이지의 다운로드 및 다운로드 후 시스템 변화를 감지한다. | ||
[[분류:보안]] | |||
[[분류:해킹 기법]] | |||
[[분류:정보보안기사]] | |||
2018년 5월 26일 (토) 02:25 판
- 사용자가 의도치 않은 상황에서 사용자도 모르게 악성코드가 다운로드 되는 침해유형을 가리킨다.
과정
- 사용자가 특정 웹페이지를 연다.
- location.href, window.open,iframe 등을 이용해 페이지가 리다이렉션 된다.
- 추적이 어렵도록 리다이렉션 된 페이지에서 여러 번 더 리다이렉션이 이루어질 수 있다.
- 난독화된 스트링을 이용해 탐지를 피하면서, 난독화된 스트링을 조합하고 복호화하여 악성 페이지로 이동시킨다.
- 리다이렉션 된 페이지에서 악성코드가 다운로드 된다.
- object, embed 와 같은 숨김 객체를 이용하기도 한다.
대응
정적 분석
- 패턴 매칭 : 웹 페이지 내 포함된 셸코드, 유포에 사용되는 특정 문자열을 기준으로 탐지한다.
- 메타정보 분석 : 웹페이지의 URL, DNS, IP, 국가정보 등을 기준으로 탐지한다.
동적 분석
- DOM 파싱 : 웹페이지의 DOM 구조를 분석하여 비정상적인 리다이렉션 및 숨김 객체를 감지한다.
- 스크립트 에뮬레이션 : 스크립트의 실행 결과를 미리 돌려보거나 예측하여 탐지한다.
- 가상머신 기반 검증 : 최종 웹페이지의 다운로드 및 다운로드 후 시스템 변화를 감지한다.
