T1189: DRIVE-BY КОМПРОМЕТАЦІЯ
Зловмисники отримують доступ до системи, коли користувач відвідує вебсайт під час звичайного перегляду сторінок. Експлуатаційний код доставляється в браузер автоматично через зламані легітимні сайти, шкідливу рекламу (Malvertising) або вразливості веб-застосунків (наприклад, XSS). Метою є виконання коду на кінцевій точці користувача для проникнення у внутрішню мережу.
ТЕХНІЧНИЙ ОПИС
Зловмисники можуть отримати доступ до системи через користувача, який відвідує вебсайт у процесі звичайного перегляду сторінок. Існує кілька способів доставки експлуатаційного коду в браузер (Drive-by Target), зокрема:
- Компрометація легітимного вебсайту, що дозволяє зловмисникам впровадити шкідливий код.
- Модифікація скриптів, що постачаються на легітимний сайт із публічно доступних хмарних сховищ (bucket).
- Оплата та розповсюдження шкідливої реклами через легітимних рекламних провайдерів (Malvertising).
- Використання інтерфейсів веб-застосунків, що дозволяють контролювати контент користувача, для вставки шкідливих скриптів або iFrame (наприклад, міжсайтовий скриптинг — XSS).
- Зловживання пуш-повідомленнями браузера для впровадження шкідливого коду через дію користувача (User Execution). Натискаючи «дозволити», користувачі можуть надавати сайту дозвіл на запуск JavaScript у своєму браузері.
Часто зловмисники використовують сайти, які відвідує певна спільнота (державні органи, конкретна галузь або регіон), де метою є компрометація конкретного користувача або групи користувачів на основі спільних інтересів. Такий тип цілеспрямованої кампанії часто називають стратегічною компрометацією веб-ресурсів або атакою типу (watering hole attack).
Типовий процес Drive-by компрометації:
- Користувач відвідує вебсайт, який використовується для розміщення підконтрольного зловмиснику контенту.
- Скрипти виконуються автоматично, зазвичай перевіряючи версії браузера та плагінів на наявність вразливостей. Користувачеві може знадобитися «допомогти» цьому процесу, увімкнувши скрипти, повідомлення або активні компоненти сайту та ігноруючи попередження.
- Після виявлення вразливої версії в браузер доставляється експлуатаційний код.
- У разі успішної експлуатації зловмисник отримує можливість виконання коду в системі користувача (якщо немає інших засобів захисту). В деяких випадках після початкового сканування потрібен другий візит на сайт для доставки експлуатаційного коду.
- На відміну від техніки Exploit Public-Facing Application, фокус цієї техніки спрямований на експлуатацію ПЗ на клієнтській стороні. Це зазвичай дає зловмиснику доступ до систем у внутрішній мережі, а не до зовнішніх систем, які можуть перебувати в DMZ.