IT용어위키



드라이브 바이 다운로드

사용자가 의도치 않은 상황에서 사용자도 모르게 악성코드가 다운로드 되는 침해유형을 가리킨다.

과정

  1. 사용자가 특정 웹페이지를 연다.
  2. location.href, window.open,iframe 등을 이용해 페이지가 리다이렉션 된다.
  3. 추적이 어렵도록 리다이렉션 된 페이지에서 여러 번 더 리다이렉션이 이루어질 수 있다.
    • 난독화된 스트링을 이용해 탐지를 피하면서, 난독화된 스트링을 조합하고 복호화하여 악성 페이지로 이동시킨다.
  4. 리다이렉션 된 페이지에서 악성코드가 다운로드 된다.
    • object, embed 와 같은 숨김 객체를 이용하기도 한다.

대응

정적 분석

  • 패턴 매칭 : 웹 페이지 내 포함된 셸코드, 유포에 사용되는 특정 문자열을 기준으로 탐지한다.
  • 메타정보 분석 : 웹페이지의 URL, DNS, IP, 국가정보 등을 기준으로 탐지한다.

동적 분석

  • DOM 파싱 : 웹페이지의 DOM 구조를 분석하여 비정상적인 리다이렉션 및 숨김 객체를 감지한다.
  • 스크립트 에뮬레이션 : 스크립트의 실행 결과를 미리 돌려보거나 예측하여 탐지한다.
  • 가상머신 기반 검증 : 최종 웹페이지의 다운로드 및 다운로드 후 시스템 변화를 감지한다.

  출처: 공대위키(공대위키에서 최신 문서 보기)
  * 본 페이지는 공대위키에서 미러링된 페이지입니다. 일부 오류나 표현의 누락이 있을 수 있습니다. 원본 문서는 공대위키에서 확인하세요!