تنزيل غير مصرح به
هذه مقالة غير مراجعة.(يوليو 2024) |
في أمن الحاسوب، التنزيل غير المقصود أو التنزيل غير المصرح به (بالإنجليزية: Drive-by Download) هو تنزيل غير متعمد للبرمجيات، وعادةً ما تكون برمجيات خبيثة. يشير مصطلح عادةً إلى تنزيل سمح به المستخدم دون فهم ما يتم تنزيله، كما هو الحال في حالة أحصنة الطروادة. وفي حالات أخرى، قد يشير المصطلح ببساطة إلى تنزيل يحدث دون علم المستخدم. تتضمن الأنواع الشائعة من الملفات الموزعة في هذه الهجمات فيروسات الحاسوب أو برمجيات التجسس أو البرمجيات الإجرامية.
قد تحدث التنزيلات غير المصرح بها أثناء زيارة أحد موقع ويب[1] أو فتح مرفق بريد إلكتروني أو النقر على رابط أو النقر على نافذة منبثقة خادعة: [2] عن طريق النقر فوق نافذة معتقدًا خطأً أنه أغلق، على سبيل المثال، تقرير خطأ من نظام تشغيل الحاسوب نفسه أو نافذة منبثقة إعلانية تبدو غير ضارة. في مثل هذه الحالات، قد يدعي "المورد" أن المستخدم "وافق" على التنزيل، على الرغم من أن المستخدم لم يكن في الواقع على علم ببدء تنزيل برمجية خبيثة أو غير مرغوب فيها. وبالمثل، إذا كان شخص ما يزور موقعًا ضارًا، فقد يصبح هذا الشخص ضحية لتنزيل غير مصرح به. أي أن المحتوى الضار قد يكون قادرًا على استغلال نقاط ضعف في المتصفح أو الإضافات لتشغيل تعليمات برمجية ضارة دون علم المستخدم.[3]
التثبيت غير المصرح به هو حدث مشابه. ويشير إلى التثبيت بدلًا من التنزيل (رغم أنه في بعض الأحيان يتم استخدام المصطلحين بالتبادل).
العملية
[عدل]لإنشاء هجمة تنزيل غير مصرح به، يجب على المهاجم أولًا إنشاء المحتوى الضار الخاص به لتنفيذ الهجوم. وكلما تزايدت الثغرات الأمنية اللازمة لتنفيذ الهجمات كلما انخفض مستوى المهارة اللازمة لتنفيذ هذا الهجوم.[3]
الخطوة التالية هي استضافة المحتوى الخبيث الذي يرغب المهاجم في توزيعه. أحد الخيارات هو أن يقوم المهاجم باستضافة المحتوى الخبيث على خادوم خاص به. ومع ذلك، ونظرًا لصعوبة توجيه المستخدمين إلى صفحة جديدة، فقد تتم استضافتها أيضًا على موقع ويب شرعي مخترق، أو موقع ويب شرعي يوزع محتوى المهاجمين دون علم من خلال برنامج مساعد خارجي (على سبيل المثال إعلان). عندما يقوم العميل بتحميل المحتوى، سيقوم المهاجم بتحليل بصمة آلة العميل من أجل تصميم تعليمات برمجية لاستغلال نقاط ذاك ضعف العميل. [4]
أخيرًا، يستغل المهاجم نقاط الضعف اللازمة لشن الهجوم. عادةً ما تستخدم التنزيلات غير المصرح بها إحدى الاستراتيجيتين. تتمثل الإستراتيجية الأولى في استغلال استدعاءات واجهة برمجة التطبيقات لمختلف الإضافات. على سبيل المثال، لم تتحقق واجهة برمجة تطبيقات DownloadAndInstall الخاصة بمكون أكتيف إكس من معلماتها بشكل صحيح وسمحت بتنزيل الملفات العشوائية وتنفيذها من الإنترنت. تتضمن الإستراتيجية الثانية كتابة نص واجهة الأوامر البرمجي في الذاكرة، ثم استغلال الثغرات الأمنية في متصفح الويب أو الإضافات ثم تحويل تدفق التحكم في البرمجية إلى نص واجهة الأوامر.[4] بعد تنفيذ نص واجهة الأوامر، يمكن للمهاجم تنفيذ المزيد من الأنشطة الضارة. يتضمن هذا غالبًا تنزيل برمجيات خبيثة أخرى وتثبيتها، ولكن يمكن أن يكون أي شيء، بما في ذلك سرقة المعلومات لإرسالها إلى المهاجم.[3]
قد يتخذ المهاجم أيضًا إجراءات لمنع اكتشافه طوال الهجوم. إحدى الطرق هي الاعتماد على تشويش التعليمات البرمجية الضارة. ويمكن القيام بذلك من خلال استخدام عنصر HTML. [5] هناك طريقة أخرى وهي تعمية التعليمات البرمجية الخبيثة لمنع اكتشافها. بشكل عام، يقوم المهاجم بتعمية التعليمات البرمجية الضارة في نص معمى، ثم يقوم بتضمين طريقة فك تعمية النص. [4]
الكشف والوقاية
[عدل]يعد اكتشاف هجمات التنزيل غير المصرح به مجالًا نشطًا للبحث. تتضمن بعض طرق الكشف اكتشاف الشذوذ، والذي يتتبع تغيرات الحالة على نظام حاسوب المستخدم أثناء زيارته لصفحة ويب. يتضمن ذلك مراقبة نظام حاسوب المستخدم بحثًا عن تغييرات غير طبيعية عند عرض صفحة ويب. تتضمن طرق الاكتشاف الأخرى الكشف عن وقت كتابة التعليمات البرمجية الخبيثة (نص واجهة الأوامر) في الذاكرة من خلال استغلال المهاجم. هناك طريقة أخرى للكشف وهي إنشاء بيئات وقت التشغيل التي تسمح بتشغيل نص جافاسكريبت برمجي وتتبع سلوكه أثناء تشغيله. تتضمن طرق الكشف الأخرى فحص محتويات صفحات لغة توصيف النص الفائق لتحديد الميزات التي يمكن استخدامها لتحديد صفحات الويب الضارة، واستخدام خصائص خواديم الويب لتحديد ما إذا كانت الصفحة ضارة.[5] تستخدم بعض أدوات مكافحة الفيروسات التوقيعات الثابتة لمطابقة أنماط البرامج النصية الضارة، على الرغم من أنها ليست فعالة جدًا بسبب تقنيات التشويش.[4]
يمكن أيضًا منع حدوث تنزيلات غير مصرح بها باستخدام أدوات حظر النصوص البرمجية مثل توسكريبت، والتي يمكن إضافتها إلى متصفحات مثل فايرفكس. باستخدام أداة حظر النصوص البرمجية يمكن للمستخدم تعطيل جميع النصوص البرمجية الموجودة على صفحة ويب معينة، ثم إعادة تمكين النصوص البرمجية بشكل انتقائي على حدة لتحديد أي منها ضروري حقًا لوظيفة صفحة الويب. ومع ذلك، يمكن أن يكون لبعض أدوات حظر النصوص البرمجية عواقب غير مقصودة، مثل كسر أجزاء من مواقع الويب الأخرى، الأمر الذي قد يكون نوعًا من التوازن.[6]
هناك شكل مختلف من أشكال الوقاية، يُعرف باسم "Cujo"، حيث يتم تكميله في وكلاء الويب، حيث يقوم بفحص صفحات الويب ومنع تسليم نصوص جافاسكريبت البرمجية الضارة. [7]
أنظر أيضًا
[عدل]- إعلان خبيث
- تصيد احتيالي
- شفرة
- ماك فلاشباك
- ثغرة أمنية في ملف تعريف Windows
- دروبر
مراجع
[عدل]- ^ Sood، Aditya K.؛ Zeadally، Sherali (1 سبتمبر 2016). "Drive-By Download Attacks: A Comparative Study". IT Professional. ج. 18 ع. 5: 18–25. DOI:10.1109/MITP.2016.85. ISSN:1520-9202. S2CID:27808214. مؤرشف من الأصل في 2024-07-12.
- ^ Olsen، Stefanie (8 أبريل 2002). "Web surfers brace for pop-up downloads". سي نت News. مؤرشف من الأصل في 2012-07-16. اطلع عليه بتاريخ 2010-10-28.
- ^ ا ب ج Le، Van Lam؛ Welch، Ian؛ Gao، Xiaoying؛ Komisarczuk، Peter (1 يناير 2013). Anatomy of Drive-by Download Attack. AISC '13. Darlinghurst, Australia, Australia: Australian Computer Society, Inc. ص. 49–58. ISBN:9781921770234. مؤرشف من الأصل في 2023-07-15.
{{استشهاد بكتاب}}
:|صحيفة=
تُجوهل (مساعدة) - ^ ا ب ج د Egele، Manuel؛ Kirda، Engin؛ Kruegel، Christopher (1 يناير 2009). "Mitigating Drive-By Download Attacks: Challenges and Open Problems". INetSec 2009 – Open Research Problems in Network Security. IFIP Advances in Information and Communication Technology. Springer Berlin Heidelberg. ج. 309. ص. 52–62. DOI:10.1007/978-3-642-05437-2_5. ISBN:978-3-642-05436-5.
- ^ ا ب Le، Van Lam؛ Welch، Ian؛ Gao، Xiaoying؛ Komisarczuk، Peter (1 يناير 2013). Anatomy of Drive-by Download Attack. AISC '13. Darlinghurst, Australia, Australia: Australian Computer Society, Inc. ص. 49–58. ISBN:9781921770234. مؤرشف من الأصل في 2023-07-15.
{{استشهاد بكتاب}}
:|صحيفة=
تُجوهل (مساعدة) - ^ Phillips، Gavin (14 يناير 2021). "What Is a Drive-by Download Malware Attack?". اطلع عليه بتاريخ 2022-01-04.
- ^ Rieck، Konrad؛ Krueger، Tammo؛ Dewald، Andreas (6 ديسمبر 2010). "Cujo: Efficient detection and prevention of drive-by-download attacks". Proceedings of the 26th Annual Computer Security Applications Conference. New York, NY, USA: ACM. ص. 31–39. DOI:10.1145/1920261.1920267. ISBN:9781450301336. S2CID:8512207.
جزء من سلسلة مقالات حول |
أمن المعلومات |
---|
بوابة أمن المعلومات |