Descarga directa

Explotación de la seguridad informática

En seguridad informática , una descarga automática es la descarga no intencionada de software , normalmente software malicioso . El término "descarga automática" suele referirse a una descarga que fue autorizada por un usuario sin saber lo que se está descargando, como en el caso de un troyano . En otros casos, el término puede referirse simplemente a una descarga que se produce sin el conocimiento del usuario. Los tipos comunes de archivos distribuidos en ataques de descarga automática incluyen virus informáticos , software espía o software malicioso .

Las descargas automáticas pueden ocurrir cuando se visita un sitio web , ^[1] al abrir un archivo adjunto en un correo electrónico o al hacer clic en un enlace, o al hacer clic en una ventana emergente engañosa: ^[2] al hacer clic en la ventana con la creencia errónea de que, por ejemplo, se está reconociendo un informe de error del propio sistema operativo de la computadora o se está descartando una ventana emergente de publicidad aparentemente inocua. En tales casos, el "proveedor" puede afirmar que el usuario "consintió" la descarga, aunque en realidad el usuario no era consciente de haber iniciado una descarga de software no deseado o malicioso. De manera similar, si una persona visita un sitio con contenido malicioso, puede convertirse en víctima de un ataque de descarga automática. Es decir, el contenido malicioso puede explotar vulnerabilidades en el navegador o complementos para ejecutar código malicioso sin el conocimiento del usuario. ^[3]

Una instalación automática (o instalación ) es un evento similar. Se refiere a la instalación en lugar de a la descarga (aunque a veces ambos términos se usan indistintamente).

Proceso

Para crear una descarga no autorizada, el atacante debe crear primero su contenido malicioso para ejecutar el ataque. Con el aumento de paquetes de exploits que contienen las vulnerabilidades necesarias para ejecutar ataques de descarga no autorizada, se ha reducido el nivel de habilidad necesario para ejecutar este ataque. ^[3]

El siguiente paso es alojar el contenido malicioso que el atacante desea distribuir. Una opción es que el atacante aloje el contenido malicioso en su propio servidor . Sin embargo, debido a la dificultad de dirigir a los usuarios a una nueva página, también puede estar alojado en un sitio web legítimo comprometido, o en un sitio web legítimo que distribuye sin saberlo el contenido de los atacantes a través de un servicio de terceros (por ejemplo, un anuncio). Cuando el cliente carga el contenido, el atacante analizará la huella digital del cliente para adaptar el código para explotar las vulnerabilidades específicas de ese cliente. ^[4]

Finalmente, el atacante explota las vulnerabilidades necesarias para lanzar el ataque de descarga drive-by. Las descargas drive-by suelen utilizar una de dos estrategias. La primera estrategia es explotar las llamadas a la API de varios complementos . Por ejemplo, la API DownloadAndInstall del componente ActiveX de Sina no comprobó correctamente sus parámetros y permitió la descarga y ejecución de archivos arbitrarios de Internet. La segunda estrategia implica escribir el shellcode en la memoria y luego explotar las vulnerabilidades del navegador web o del complemento para desviar el flujo de control del programa al shellcode. ^[4] Una vez ejecutado el shellcode, el atacante puede realizar otras actividades maliciosas. Esto suele implicar la descarga e instalación de malware , pero puede ser cualquier cosa, incluido el robo de información para enviársela al atacante. ^[3]

El atacante también puede tomar medidas para evitar la detección durante el ataque. Un método es confiar en la ofuscación del código malicioso. Esto se puede hacer mediante el uso de iframes . ^[3] Otro método es cifrar el código malicioso para evitar la detección. Generalmente, el atacante cifra el código malicioso en un texto cifrado y luego incluye el método de descifrado después del texto cifrado. ^[4]

Detección y prevención

La detección de ataques de descargas automáticas es un área activa de investigación. Algunos métodos de detección implican la detección de anomalías , que rastrea los cambios de estado en el sistema informático de un usuario mientras el usuario visita una página web. Esto implica monitorear el sistema informático del usuario en busca de cambios anómalos cuando se procesa una página web. Otros métodos de detección incluyen detectar cuándo un atacante escribe código malicioso (shellcode) en la memoria mediante un exploit. Otro método de detección es crear entornos de tiempo de ejecución que permitan ejecutar código JavaScript y rastrear su comportamiento mientras se ejecuta. Otros métodos de detección incluyen examinar los contenidos de las páginas HTML para identificar características que se puedan usar para identificar páginas web maliciosas y usar características de servidores web para determinar si una página es maliciosa. ^[3] Algunas herramientas antivirus usan firmas estáticas para encontrar patrones de scripts maliciosos, aunque no son muy efectivas debido a las técnicas de ofuscación. La detección también es posible mediante el uso de honeyclients de baja o alta interacción . ^[4]

Las descargas automáticas también se pueden evitar mediante el uso de bloqueadores de scripts como NoScript , que se pueden añadir fácilmente a navegadores como Firefox. Con un bloqueador de scripts de este tipo, el usuario puede desactivar todos los scripts de una página web determinada y, a continuación, volver a activar selectivamente scripts individuales uno por uno para determinar cuáles son realmente necesarios para la funcionalidad de la página web. Sin embargo, algunas herramientas de bloqueo de scripts pueden tener consecuencias no deseadas, como la rotura de partes de otros sitios web, lo que puede suponer un poco de malabarismo. ^[5]

Una forma diferente de prevención, conocida como "Cujo", está integrada en un proxy web, donde inspecciona las páginas web y bloquea la entrega de código JavaScript malicioso. ^[6]

Véase también

• Publicidad maliciosa
• Suplantación de identidad (phishing)
• CUCHILLA
• Retrospectiva de Mac
• Vulnerabilidad de metarchivo de Windows
• Cuentagotas (malware)

Referencias

1. Sood, Aditya K.; Zeadally, Sherali (1 de septiembre de 2016). "Ataques de descargas automáticas: un estudio comparativo". IT Professional . 18 (5): 18–25. doi :10.1109/MITP.2016.85. ISSN  1520-9202. S2CID  27808214.
2. Olsen, Stefanie (8 de abril de 2002). "Los internautas se preparan para las descargas de ventanas emergentes". CNET News . Consultado el 28 de octubre de 2010 .
3. Le, Van Lam; Welch, Ian; Gao, Xiaoying; Komisarczuk, Peter (1 de enero de 2013). Anatomía de un ataque de descarga automática. AISC '13. Darlinghurst, Australia, Australia: Australian Computer Society, Inc., págs. 49-58. ISBN 9781921770234. {{cite book}}: |journal=ignorado ( ayuda )
4. Egele, Manuel; Kirda, Engin; Kruegel, Christopher (1 de enero de 2009). "Mitigación de ataques de descargas automáticas: desafíos y problemas abiertos". INetSec 2009 – Problemas de investigación abiertos en seguridad de redes . IFIP Avances en tecnología de la información y la comunicación. Vol. 309. Springer Berlin Heidelberg. págs. 52–62. doi :10.1007/978-3-642-05437-2_5. ISBN 978-3-642-05436-5.
5. Phillips, Gavin (14 de enero de 2021). "¿Qué es un ataque de malware mediante descarga automática?" . Consultado el 4 de enero de 2022 .
6. Rieck, Konrad; Krueger, Tammo; Dewald, Andreas (6 de diciembre de 2010). "Cujo: detección y prevención eficientes de ataques drive-by-download". Actas de la 26.ª Conferencia Anual de Aplicaciones de Seguridad Informática . Nueva York, NY, EE. UU.: ACM. pp. 31–39. doi :10.1145/1920261.1920267. ISBN 9781450301336.S2CID8512207  .​