路過式下載

路過式下載（Drive-by download）是對互聯網上的一種行為的描述，一般表現為：

1. 任何不希望用戶知曉的下載行為
2. 在用戶不知道的情況下下載間諜軟件、計算機病毒或者任何惡意軟件。路過式下載可能發生在用戶訪問一個網站、閱讀一封電子郵件、或者點擊一個欺騙性彈出式窗口的時候^[1]。例如，用戶誤以為這個彈出式窗口是自己的計算機提示錯誤的窗口或者以為這是一個正常的彈出式廣告，因此點擊了這個窗口。^[2]

路過式安裝是一個類似的手段，它是指使一個用戶在不知情的情況下安裝軟件（雖然有時候這兩個術語是可以互換的）。

過程

在製造一個路過式下載時，攻擊者必須先製作好他們的惡意內容來進行攻擊，由於有越來越多供駭客使用的漏洞工具包（Exploit pack）都擁有進行路過式下載所需的漏洞，路過式下載所需的技術層級已經降低了許多。^[3]

下一步是寄生其他電腦並使其成為攻擊者想散佈的惡意內容的來源，攻擊者可以在自己的伺服器上放置惡意內容，但由於將用戶導向至新的頁面的困難度，通常攻擊者也會尋找一些網站與其合夥來散佈惡意內容，或是透過入侵網絡廣告等手法來使更多不知情的網站幫忙散佈內容，當用戶執行惡意內容的時候，攻擊者就會透過分析裝置指紋為每一個用戶訂製不同的攻擊手法。^[4]

最後，一個路過式下載通常會進行下列兩種行為的中的一個，第一種是利用應用程式介面安裝各種外掛程式。例如ActiveX的下載及安裝API沒有妥善檢查它的參數，並允許了下載和執行來自網絡上的任意檔案。第二種則是先編寫Shellcode到記憶體，然後利用瀏覽器或是插件的漏洞執行Shellcode^[4]，當Shellcode被執行之後攻擊者就可以進行下一步的惡意行為，像是下載惡意軟件或是竊取資料。^[3]

偵測方法

參見

• 惡意廣告
• 廣告欺詐
• WMF文件格式漏洞

參考文獻

1. Olsen, Stefanie. Web surfers brace for pop-up downloads. CNET News. 8 April 2002 [28 October 2010]. （原始內容存檔於2014-10-22）.
2. Exploit on Amnesty pages tricks AV software. The H online. Heinz Heise. 20 April 2011 [8 January 2011]. （原始內容存檔於2021-02-25）.
3. Le, Van Lam; Welch, Ian; Gao, Xiaoying; Komisarczuk, Peter. Anatomy of Drive-by Download Attack. Proceedings of the Eleventh Australasian Information Security Conference - Volume 138. AISC '13 (Darlinghurst, Australia, Australia: Australian Computer Society, Inc.). 2013-01-01: 49–58. ISBN 9781921770234.
4. Egele, Manuel; Kirda, Engin; Kruegel, Christopher. Mitigating Drive-By Download Attacks: Challenges and Open Problems. iNetSec 2009 – Open Research Problems in Network Security. IFIP Advances in Information and Communication Technology 309. Springer Berlin Heidelberg. 2009-01-01: 52–62. ISBN 978-3-642-05436-5. doi:10.1007/978-3-642-05437-2_5 （英語）.