Drive by Download
Apa itu drive by download dan bagaimana ancaman online ini dapat menginfeksi komputer atau perangkat Anda bahkan tanpa satu klik pun.
Drive by download dapat memuat dirinya sendiri ke komputer tanpa sepengetahuan pengguna. Mereka seringkali merupakan langkah pertama dalam serangan bertahap, yang mampu secara halus membawa malware lain yang lebih ganas ke komputer korban.
Pada akhirnya, serangan ini dapat mendatangkan malapetaka dalam berbagai cara, mulai dari memata-matai hingga pencurian kekayaan intelektual, hingga pemerasan melalui ransomware.
Baca juga: Initial Access atau Akses Awal
Apa itu Drive by Download?
Drive by download adalah unduhan yang tidak disengaja dan umumnya berbahaya. Mereka terbagi dalam dua kategori utama:
1. Tanpa sepengetahuan pengguna
Dalam kasus ini, pengguna tidak menyadari bahwa ada sesuatu yang telah diunduh. Unduhan nonkonsensual ini biasanya memanfaatkan kerentanan dalam sistem operasi pengguna, aplikasi, browser, plugin seperti Flash, atau dalam kerumitan JavaScript.
Terkadang pelaku dapat memanfaatkan eksploitasi zero-day. Namun, sebagian besar serangan ini dimungkinkan karena pengguna cenderung mengoperasikan browser dan plugin usang yang belum ditambal dengan pembaruan keamanan terbaru.
Ini adalah jenis serangan yang kebanyakan orang pikirkan ketika mendengar istilah drive-by download karena korban dapat terinfeksi bahkan tanpa berhenti untuk mengklik. Seolah-olah mereka tertabrak meski hanya lewat halaman web.
2. Tanpa pemahaman penuh pengguna
Drive by download juga masuk ke komputer dan perangkat dengan menipu pengguna. Seorang pengguna mungkin secara tidak sengaja memasang malware atau program palsu dengan asumsi bahwa mereka mengunduh perangkat lunak yang sah.
Contoh yang baik dari hal ini adalah ketika pelaku menyiapkan pemberitahuan yang terlihat seperti berasal dari program antivirus yang sah. Menakut-nakuti pengguna untuk berpikir bahwa mereka memiliki virus, mendorong mereka untuk mengambil tindakan untuk menghapusnya.
Bahaya sebenarnya datang saat pengguna mengikuti petunjuknya. Pemberitahuan virus hanyalah taktik licik, dan obat yang diharapkan akhirnya mengunduh malware ke komputer korban.
Sementara pengguna mungkin telah secara aktif memilih untuk menginstal file tersebut, mereka melakukannya tanpa mengetahui apa yang sebenarnya terkandung di dalamnya. Inilah yang membuat taktik ini ditempatkan di bawah kategori drive by download.
Taktik serupa melibatkan eksploitasi kurangnya pengetahuan teknis pengguna untuk mengelabui mereka agar mengunduh sesuatu yang tidak mereka butuhkan. Meskipun pengguna mungkin telah memilih untuk melakukan pengunduhan, mereka melakukannya tanpa persetujuan, yang seringkali dapat menyebabkan konsekuensi yang tidak diinginkan dan berbahaya.
Kode berbahaya juga dapat dibundel secara diam-diam dalam paket yang ingin diunduh pengguna. Dalam skenario ini, pengguna mengunduh program yang sah dan tampaknya berfungsi dengan baik. Tanpa sepengetahuan mereka, drive by download telah disertakan dalam paket, dan itu dapat berfungsi untuk menginfeksi PC mereka saat pengguna menjalankan bisnis mereka secara normal.
Banyak yang mungkin tidak menganggap tipe kedua ini sebagai drive-by download sama sekali. Mereka ada benarnya, karena serangan itu melibatkan tindakan pengguna langsung, bahkan jika tindakan tersebut diambil tanpa sepenuhnya memahami konsekuensinya.
Terlepas dari ketidaksepakatan ini, kami akan membahas kedua jenis dalam artikel ini secara menyeluruh. Pendekatan ini juga akan memastikan bahwa Anda tidak bingung saat menemukan referensi ke jenis drive by download kedua di tempat lain.
Baca juga: Permukaan Serangan atau Attack Surface
Mengapa Menggunakan Drive by Download?
Dalam kasus yang paling berbahaya, penjahat dunia maya menggunakan drive by download sebagai sarana untuk memuat komputer atau perangkat target dengan bentuk malware lainnya. Drive by download efektif karena mereka dapat menyelinap ke komputer tanpa diketahui, memberi musuh pijakan untuk serangan lebih lanjut.
Setelah drive by download berhasil mencapai target, ia akan sering menghubungi server untuk mengunduh malware lain. Tujuan akhir pelaku mungkin termasuk:
-
Memata-matai dan mengumpulkan data untuk serangan lebih lanjut
-
Memperoleh data yang dapat dijual di pasar darknet
-
Menembus lebih jauh ke dalam sistem, jaringan, atau akun
-
Berbagai jenis penipuan keuangan dan pencurian identitas
-
Merekrut perangkat sebagai bagian dari botnet
-
Ransomware
-
Adware
Seperti yang Anda lihat, drive by download adalah titik awal untuk berbagai serangan yang dapat digunakan untuk menghancurkan korban. Tapi bagaimana mereka akhirnya menginfeksi korban?
Bagaimana Drive by Download Berakhir di Komputer Anda?
Anda dapat menemukan drive by download di kotak masuk Anda atau dengan menjelajah online. Serangan berbasis email umumnya mengelabui pengguna agar mengunduh lampiran berbahaya atau menyertakan tautan yang mengirim mereka ke situs web cerdik tempat serangan dimulai.
Saat mengunjungi situs web, Anda dapat menjadi korban drive by download melalui situs web itu sendiri, atau iklan yang dibawanya. Bahkan situs web bergengsi seperti New York Times dan BBC telah diketahui menghosting iklan yang menginfeksi pengunjung dengan drive by download.
Peretas mungkin membayar untuk menghosting iklan jahat di situs web, atau mereka mungkin menyusupi jaringan iklan, sebagai sarana untuk menargetkan korban.
Kedua pendekatan tersebut dijuluki malvertising karena menyalahgunakan sistem periklanan untuk menyebarkan malware. Dimungkinkan untuk menayangkan iklan jahat di situs mana pun.
Tetapi jauh lebih umum di bagian web yang lebih rawan, seperti platform berbagi file dan streaming ilegal, situs perjudian online, dan halaman pornografi.
Alternatifnya, konten berbahaya dapat disajikan langsung dari situs web itu sendiri. Strategi ini umumnya memanfaatkan kerentanan keamanan yang ditemukan pada perangkat lunak usang. Penyebab umum meliputi:
-
Browser kedaluwarsa, seperti Internet Explorer, Opera, Firefox, atau Chrome versi lama.
-
Plugin yang belum ditambal seperti Adobe Flash atau Microsoft Silverlight.
-
Versi lama Windows atau sistem operasi lain.
Pelaku sering memanfaatkan perangkat lunak usang ini dengan menyembunyikan kode berbahaya di iFrames dengan JavaScript, lalu menggunakan serangkaian pengalihan untuk memuat malware ke target yang sesuai.
Mereka juga dapat menggunakan JavaScript untuk memanfaatkan kerentanan skrip lintas situs (XSS). Kerentanan yang lebih serius bahkan memungkinkan mereka menyembunyikan exploit kit secara langsung di halaman.
Peretas dapat menyusup ke situs web yang sah dan memasukkan kode untuk menginfeksi korban, atau mereka bahkan secara khusus menyiapkan situs web untuk kampanye mereka. Dalam contoh kedua, pelaku biasanya menyesuaikan situs mereka untuk menargetkan audiens tertentu, yang dikenal sebagai serangan watering hole.
Baca juga: Downloader
Bagaimana Skenario Drive by Download Bekerja?
Sebelum kita masuk ke drive by download, pertama-tama mari kita bahas bagaimana serangan umumnya mengarah ke sana.
Skenario umum melibatkan pengguna yang menemukan halaman arahan berbahaya, baik dengan mengkliknya secara langsung atau dialihkan melalui malvertising.
Dari titik ini, ada berbagai macam variabel tentang bagaimana serangan bisa berkembang. Itu tergantung pada tujuan pelaku dan kecanggihan mereka.
Social Engineering
Pada skala yang lebih sederhana, pelaku dapat menggunakan social engineering untuk mencoba dan mengelabui pengguna agar secara aktif mengunduh program antivirus yang seharusnya atau pembaruan sistem. Di bawah jenis serangan ini, korban sering tertipu untuk langsung mengunduh Trojan atau malware lainnya.
Dalam situasi ini, permulaan serangan dapat dianggap sebagai pengdrive by download, berdasarkan definisi kedua kami tentang pengguna yang menginstal perangkat lunak tanpa pemahaman penuh mereka.
Unduhan ini dapat memberi pelaku akses pintu belakang, memungkinkan mereka untuk mencuri data sensitif, atau memberi mereka jalan untuk memuat perangkat lunak penghancur lainnya, seperti ransomware.
Exploit Kit
Alternatifnya, korban mungkin berakhir di halaman arahan exploit kit. Exploit kit pada dasarnya adalah kumpulan exploit dan alat yang dikemas sebelumnya yang dapat mencoba berbagai serangan berbeda untuk mencoba dan menginfeksi target. pelaku tidak perlu banyak keahlian teknis untuk menggunakannya dan mereka dapat dibeli di web gelap.
Exploit kit yang lebih canggih akan dimulai dengan sidik jari target potensial untuk kesesuaian. Proses ini melibatkan pemindaian konfigurasi pengguna, sistem operasi yang mereka gunakan, browser, plugin, dan versi mana yang telah mereka instal.
Sidik jari juga dapat memeriksa alamat IP pengguna, memungkinkan pelaku untuk secara khusus menargetkan atau mengecualikan calon korban berdasarkan wilayah geografis mereka.
Proses sidik jari memungkinkan pelaku untuk memfilter target yang sesuai. Operasi yang canggih memisahkan korban yang sesuai menurut mode serangan mana yang membuat mereka rentan.
Sidik jari juga dapat mencoba mendeteksi alat jaringan dan mesin virtual jika ini terlihat, kit tidak akan meluncurkan serangan terhadap target. Namun membantu peretas untuk menghindari peneliti keamanan dan jebakan mereka.
Kode halaman arahan dan eksploit umumnya dikaburkan untuk meningkatkan peluang keberhasilannya. Eksploitasi bahkan dapat dienkripsi dan perlu menghubungi server backend pelaku untuk mendapatkan kunci yang mendekripsi kode, agar serangan dapat berlanjut.
Dari titik ini, ada banyak cara agar serangan dapat bergerak maju. Operasi ini umumnya melibatkan serangkaian teknik yang dibuat dengan hati-hati dan rumit yang bertujuan untuk memajukan serangan tanpa terdeteksi.
Secara garis besar, exploit kit umumnya akan memanfaatkan kerentanan, lalu melakukan sejumlah langkah yang berfungsi untuk mengunduh payload secara diam-diam.
Ini bisa berupa ransomware, spyware, perangkat lunak penambangan kripto, atau malware yang merekrut komputer ke dalam botnet. Itu semua tergantung pada apa tujuan peretas itu.
Pada akhirnya, jika serangan berhasil, korban berakhir dengan masalah yang signifikan, meskipun awalnya mereka tidak menyadari bahwa mereka telah diretas.
|
Baca lainnya: |
Sumber berita:
