Descarga automática

En seguridad informática, una descarga no autorizada es la descarga no intencionada de software, normalmente software malicioso. El término "descarga automática" Generalmente se refiere a una descarga que fue autorizada por un usuario sin entender lo que se está descargando, como en el caso de un virus troyano. En otros casos, el término puede referirse simplemente a una descarga que se produce sin el conocimiento del usuario. Los tipos comunes de archivos distribuidos en ataques de descarga no autorizada incluyen virus informáticos, spyware o crimeware.

Las descargas no autorizadas pueden ocurrir al visitar un sitio web, abrir un archivo adjunto de correo electrónico, hacer clic en un enlace o hacer clic en una ventana emergente engañosa: al hacer clic en la ventana con la creencia errónea de que, por ejemplo, un Se reconoce un informe de error del propio sistema operativo de la computadora o se descarta una ventana emergente publicitaria aparentemente inofensiva. En tales casos, el "proveedor" puede afirmar que el usuario "consintió" a la descarga, aunque en realidad el usuario no era consciente de haber iniciado una descarga de software no deseado o malicioso. De manera similar, si una persona visita un sitio con contenido malicioso, puede convertirse en víctima de un ataque de descarga no autorizada. Es decir, el contenido malicioso puede aprovechar vulnerabilidades en el navegador o complementos para ejecutar código malicioso sin el conocimiento del usuario.

Una instalación no autorizada (o instalación) es un evento similar. Se refiere a instalación en lugar de descarga (aunque a veces los dos términos se usan indistintamente).

Proceso

Al crear una descarga no autorizada, un atacante primero debe crear su contenido malicioso para realizar el ataque. Con el aumento de paquetes de exploits que contienen las vulnerabilidades necesarias para llevar a cabo ataques de descarga no autorizada, el nivel de habilidad necesario para realizar este ataque se ha reducido.

El siguiente paso es alojar el contenido malicioso que el atacante desea distribuir. Una opción es que el atacante aloje el contenido malicioso en su propio servidor. Sin embargo, debido a la dificultad de dirigir a los usuarios a una nueva página, también puede estar alojada en un sitio web legítimo comprometido o en un sitio web legítimo que, sin saberlo, distribuye el contenido del atacante a través de un servicio de terceros (por ejemplo, un anuncio). Cuando el cliente carga el contenido, el atacante analizará la huella digital del cliente para adaptar el código para explotar las vulnerabilidades específicas de ese cliente.

Finalmente, el atacante aprovecha las vulnerabilidades necesarias para lanzar el ataque de descarga oculta. Las descargas no autorizadas suelen utilizar una de dos estrategias. La primera estrategia es explotar las llamadas API para varios complementos. Por ejemplo, la API DownloadAndInstall del componente Sina ActiveX no verificó adecuadamente sus parámetros y permitió la descarga y ejecución de archivos arbitrarios desde Internet. La segunda estrategia implica escribir código shell en la memoria y luego explotar las vulnerabilidades en el navegador web o complemento para desviar el flujo de control del programa al código shell. Una vez ejecutado el código shell, el atacante puede realizar más actividades maliciosas. Esto a menudo implica descargar e instalar malware, pero puede ser cualquier cosa, incluido el robo de información para enviársela al atacante.

El atacante también puede tomar medidas para evitar ser detectado durante el ataque. Un método consiste en confiar en la ofuscación del código malicioso. Esto se puede hacer mediante el uso de iframes. Otro método consiste en cifrar el código malicioso para evitar su detección. Generalmente, el atacante cifra el código malicioso en un texto cifrado y luego incluye el método de descifrado después del texto cifrado.

Detección y prevención

La detección de ataques de descarga no autorizada es un área activa de investigación. Algunos métodos de detección implican la detección de anomalías, que rastrea los cambios de estado en el sistema informático de un usuario mientras este visita una página web. Esto implica monitorear el sistema informático del usuario para detectar cambios anómalos cuando se representa una página web. Otros métodos de detección incluyen detectar cuándo un exploit de un atacante escribe código malicioso (shellcode) en la memoria. Otro método de detección es crear entornos de ejecución que permitan que el código JavaScript se ejecute y realicen un seguimiento de su comportamiento mientras se ejecuta. Otros métodos de detección incluyen examinar el contenido de las páginas HTML para identificar características que puedan usarse para identificar páginas web maliciosas y utilizar las características de los servidores web para determinar si una página es maliciosa. Algunas herramientas antivirus utilizan firmas estáticas para hacer coincidir patrones de scripts maliciosos, aunque no son muy efectivas debido a las técnicas de ofuscación. La detección también es posible mediante el uso de clientes mielos de baja o alta interacción.

También se puede evitar que se produzcan descargas no autorizadas mediante el uso de bloqueadores de secuencias de comandos como NoScript, que se puede agregar fácilmente a navegadores como Firefox. Al utilizar un bloqueador de secuencias de comandos de este tipo, el usuario puede deshabilitar todas las secuencias de comandos en una página web determinada y luego volver a habilitar selectivamente secuencias de comandos individuales una por una para determinar cuáles son realmente necesarias para la funcionalidad de la página web. Sin embargo, algunas herramientas de bloqueo de secuencias de comandos pueden tener consecuencias no deseadas, como romper partes de otros sitios web, lo que puede suponer un acto de equilibrio.

Una forma diferente de prevención, conocida como "Cujo" está integrado en un proxy web, donde inspecciona páginas web y bloquea la entrega de código JavaScript malicioso.