Drive-by-Download automatische Ausführung

[TheTecher]

Hallo Leute,

ich hatte eben eine kleine Diskussion mit meinem Kollegen. Wenn durch einen Drive-by-Download eine .exe Datei heruntergeladen wird, liegt diese primär ja erstmal in einem Ordner.
Mein Kollege meinte durch einen script getriggerten Download führt der Browser die .exe automatisch aus. Ist diese Aussage wahr bzw. kann es passieren dass durch einen Drive-by-Download eine automatische Ausführung angestoßen werden kann?
Mit freundlichen Grüßen

 

[puri]

Ja, habe ich selbst bei einer Checkpoint-Vorführung gesehen, man öffnet nur die Webseite und innerhalb weniger Sekunden sah man im parallel geöffneten Browser wie die Dateien verschlüsselt wurden (natürlich nur, wenn man das beworbene Checkpoint-Produkt nicht auf dem Rechner hatte.. ). Durch die Schwachstelle im Windows, konnte direkt eine Datei ausgeführt werden, die die eigentlichen Schaddateien nachgeladen hat und gestartet..

 

[owned_you]

Das sind ja gerade die Definition von DriveBy Attacken! Die brauchen keinen dummen User mehr ... zum Glück sind ca. 98% der Malware eben keine DriveBy ... sondern nur gefährlich wenn ne Dumpfbacke vor der Tastatur sitzt!

 

[R00kie]

Genau. Der Mechanismus, der den Dateidownload anstößt, ist letztendlich auch der, der die Datei dann zur Ausführung bringt.
Dieser Mechanismus nutzt generell irgendwelche Sicherheitslücken aus, die an verschiedenen Stellen bestehen können. Der Flash-Player von Adobe hatte von Zeit zu Zeit (verschiedene Versionen), die eine Vireninfektion per drive-by erlaubte, also die Ausführung von Code auf dem Rechner durch bloßen aufrufen einer Webseite (mit manipulierter Werbung).
Es können aber auch Browser sein, die solche Lücken aufweisen oder Plugins (je nachdem wie gut der Browser die Plugins absichert, also wie gut die Sandbox ist).

 

[TheTecher]

Ja, habe ich selbst bei einer Checkpoint-Vorführung gesehen, man öffnet nur die Webseite und innerhalb weniger Sekunden sah man im parallel geöffneten Browser wie die Dateien verschlüsselt wurden (natürlich nur, wenn man das beworbene Checkpoint-Produkt nicht auf dem Rechner hatte.. ). Durch die Schwachstelle im Windows, konnte direkt eine Datei ausgeführt werden, die die eigentlichen Schaddateien nachgeladen hat und gestartet..

Solche ähnlichen Vorführungen kenne ich auch von Sophos .

Okay danke euch!

 

[visioo]

Greift hier nicht normalerweise die UAC?

 

[Knito]

Das funktioniert nur wenn das System vorher schon infiziert ist oder es eine "schwere Lücke" in einem Browser Plugin gibt, ansonsten geht das natürlich nicht.

 

[Jesterfox]

Greift hier nicht normalerweise die UAC?

Kommt drauf an... beim Ausführen eine Exe an sich erst mal nicht, erst wenn sie etwas machen möchte wofür die erhöhten rechte benötigt werden. Ein Crypto-Trojaner bracuht die aber gar nicht um deine Dokumente zu verschlüsseln...

An sich funktioniert so ein Drive-By Angriff aber nur wenn der Browser (oder eines seiner PlugIns) eine entsprechende Lücke aufweist.

 

[DaveStar]

Ist diese Aussage wahr bzw. kann es passieren dass durch einen Drive-by-Download eine automatische Ausführung angestoßen werden kann?

Wie bereits gesagt wurde: Das ist die Definition von Drive-by-Download

D.h. Würde er nicht automatisch ausgeführt, wärs kein Drive-by-Download.