Oggi il malware si diffonde principalmente grazie alle vulnerabilità sfruttate nei browser e nei relativi plug-in. Gli aggressori utilizzano JavaScript per individuare tali vulnerabilità. Due esempi di tali attacchi sono il download drive-by e gli attacchi di overflow di buffer e stack. Qual è la differenza tra questi 2 attacchi? Sembrano essere simili a me secondo ciò che ho letto ormai.
(1) Attacco drive-by-download
Un attacco "drive-by-download" è una tecnica di consegna del malware che viene attivata semplicemente perché l'utente visita un sito web. Un download drive-by Il malware solitamente sfrutta (o "sfrutta") un browser, un'app o un sistema operativo non aggiornato e presenta un difetto di sicurezza.
Potresti ricevere un link in un'email, un messaggio di testo o un post sui social media che ti dice di guardare qualcosa di interessante su un sito. Quando apri la pagina, mentre ti stai godendo l'articolo o il fumetto, il download si installa sul tuo computer.
(2) Attacco overflow buffer stack
L'attacco di overflow del buffer dello stack deriva da un input più lungo dell'attrezzo o destinato.
Esistono tre tipi comuni di attacchi di overflow del buffer: attacchi stack, format string attack e heap attack . Ogni attacco è simile ma interessa una parte diversa della memoria del computer.
(a) Stack Attacks
Il perpetratore aggiunge più dati del previsto allo stack, sovrascrivendo i dati che il programmatore pensava non avrebbe mai avuto alcun rischio di essere sostituiti.
(b) Attacca stringa di formato
Coinvolge una modifica molto più piccola dell'overflow del buffer dello stack. Gli attacchi con le stringhe di tipo stringa di solito aggiungono un singolo indirizzo in memoria che punta a un altro indirizzo in memoria dove l'autore dell'attacco ha aggiunto nuove istruzioni da eseguire
(c) Attacchi di heap
L'attacco dell'heap non coinvolge affatto lo stack. Le pagine dell'heap possono essere lette e scritte e gli hacker sfruttano questo aspetto scrivendo le istruzioni di attacco nelle pagine nell'heap, quindi ingannando il computer nel seguire questi istruzioni.
"Drive-by-download" si riferisce al comportamento del malware: tenterà di infettare l'utente durante la normale interazione con una pagina Web.
Buffer e stack overflow, d'altra parte, sono due tecniche utilizzate per attaccare un'applicazione vulnerabile. Non sono limitati al web in alcun modo. (qualsiasi software che prende una qualche forma di input - cioè tutto il software - è potenzialmente vulnerabile).
Quindi un malware potrebbe diffondersi attraverso il download drive-by sfruttando un overflow dello stack in un componente vulnerabile.
Un drive-by-download non è un attacco. Significa solo che il malware verrà automaticamente scaricato ed eseguito senza che l'utente faccia nulla (I.E. Devi solo visitare un sito per essere infettato). Potrebbe essere consegnato tramite un exploit JS.
Questo lo differenzia dai malware avviati dall'utente, in cui un sito Web ti indurrà a scaricare ed eseguire qualcosa (ad esempio, un falso antivirus).
Leggi altre domande sui tag drive-by-download buffer-overflow heap-overflow