대부분 영어로 된 자료라, 내 저렴한 영어 실력으로 번역하면 다른 분들에게 민폐끼칠 수 있음을 미리 알려드립니다.
Drive-by Compromise는 Mitre Att&ck 에서 Initial Access 단계에서 사용하는 기술 중 하나이다.
Drive-by Compromise는 악의적인 사용자가 일반적인 브라우징 과정을 통해 웹 사이트를 방문하는 사용자를 통해 시스템에 액세스하는 방법이다.
익스플로잇 코드를 브라우저에 전달하는 여러 가지 방법이 있다.
- 공격자가 정상 웹사이트에 크로스 사이트 스크립팅, javascript와 iFrames 같은 악성 코드를 삽입한다.
- 악성 광고를 정상 광고 제공자에게 유료로 지불하고 배포한다.
- 나머지 부분은 참고 사이트를 참고하세요.
- 어정쩡한 번역과 이해는 혼란을 유발할 수 있습니다.
일반적인 Driver-by compromise 과정은 :
1. 사용자는 악의적인 제어 콘텐츠를 호스팅하는 데 사용되는 웹 사이트를 방문합니다.
2. 스크립트는 자동으로 실행되며 일반적으로 취약한 버전의 브라우저 및 플러그인 버전을 검색합니다.
3. 취약한 버전을 찾으면 익스플로잇 코드가 브라우저로 전달됩니다.
4. 악용에 성공하면 다른 보호 기능이 없는 한 사용자 시스템에서 악의적인 코드가 실행된다.
기술의 초점은 웹 사이트 방문 시 클라이언트 엔드 포인트에서 소프트웨어를 이용하는 것입니다.
완화방법에는
- 브라우저 샌드박스를 사용한다.
- 그러나 브라우저 샌드박스 우회방법은 존재할 수 있다.
- 익스플로잇 보호
-
- 웹 기반 콘텐츠 제한
- 소프트웨어 업데이트
- 보안 관련된 당연한 소리인데, Drive-by Compromise는 주로 취약한 버전 브라우저가 목표라고 한다.
탐지
- 방화벽 또는 프록시를 통해 URL을 검사를 하거나 평판 기반 분석을 수행한다.
- 네트워크 IDS를 사용하여 알려진 악성 스크립트, 일반적인 스크립트 난독화 및 악용 코드를 찾을 수 있습니다.
- 브라우저 프로세스의 비정상적인 동작을 탐지...?
- 디스크에 의심스러운 파일 쓰기, 실행, 발견의 증거를 숨기려는 프로세스 주입의 증거또는 비정상 네트워크 트래픽이 포함될 수 있다.
보안 공부하는 사람이다.
아직 와닿지 않는 기술이다. 쪼금 더 알아보고, 깊숙히 이해해야 탐지에 대해 연구를 할 수 있을 것 같다.