Drive-by download

NBC ble i forrige uke kompromittert og startet å distribuere virus til brukerne. Dette er et eksempel på et drive-by download angrep.

NBC er et av de store tv selskapene i USA og har da naturligvis mange som besøker nettsiden deres. Det er liten tvil om at målet til angriperne ikke var NBC, men brukerne av nettsiden deres.

Etter at angriperene hadde fått kontroll over nettsiden, la de til noe JavaScript som kjører ondsinnet kode i bakgrunnen. Siden JavaScript kjøres i nettleseren, kan dette brukes til å utnytte svakheter, i dette tilfellet var det en Java svakhet og en PDF svakhet. Så alle som ikke har oppdatert til nyeste versjon av nettleseren og tillegg, vil bli infisert. Merk at Java og JavaScript er to forskjellige ting, her brukes JavaScript til å utnytte en svakhet i Java blant annet.

Dette er et eksempel på et drive-by download angrep, som betyr at angriperen kan laste ned og kjøre ondsinnet kode uten at du får noen som helst advarsel eller spørsmål. Så selv om du er en forsiktig bruker, kan dette angrepet være veldig vanskelig å komme seg unna. Dette skjedde heller ikke på en luguber side, men en side som de fleste ikke vil være bekymret for å besøke.

Det er ikke lenge siden vi hadde et lignende angrep på norske nettsider. Da var det ikke nettsiden som ble kompromittert, men annonsesystemet. Norske legitime sider serverte ufrivillig ondsinnet kode til sluttbrukeren. Les mer om det i NorCERTs 3. kvartalsrapport for 2012 hos nsm.stat.no.

I dette tilfellet gikk det kort tid før NBC oppdaget problemet og den ondsinnete koden ble fjernet raskt. I mellomtiden hadde også Google markert at siden spredde virus og svartelistet den i sin virus tjeneste som noen nettlesere bruker.

NorSIS anbefaler

  • Drive-by download angrep kan være veldig vanskelig å beskytte seg mot, men med noen få steg kan man bli mye tryggere:
    • Sørg for at du har nyeste versjon av applikasjonene du bruker. Applikasjoner som er spesielt viktige er: Nettleser pluss tillegg, Java, PDF-lesere, antivirus og operativsystem. Bruk gjerne et sikkerhetsverktøy for å holde oversikten over dette, se liste over sikkerhetsverktøy her.
    • Nettlesere gir forskjellige beskjeder når de oppdager noe mistenkelig, disse kan ofte være vanskelige å tyde og det kan være vanskelige å vite om beskjeden er relevant for deg eller ikke. Gjør deg kjent med disse beskjedene og forstå hva de betyr, hvis du er usikker på hva beskjeden betyr, bør du holde deg unna. I dette tilfellet ville noen nettlesere gi en beskjed om at denne nettsiden distribuerer virus, dette er et klart tegn på å holde seg unna.
    • En måte å delvis beskytte seg mot slike angrep er å kontrollere hvilke sider du tillater å kjøre skript i nettleseren din, se egen veiledning om nettleser og sikkerhet her.

Les mer:

Informasjon fra NorSIS er hentet fra flere kilder. NorSIS vurderer informasjon før publisering, men NorSIS kan ikke holdes ansvarlig for skade eller tap som kan oppstå som følge av ukorrekt, manglende eller utilstrekkelig informasjon.

Publisert: 26. februar 2013

Informasjon fra NorSIS er hentet fra flere kilder. NorSIS vurderer informasjon før publisering, men NorSIS kan ikke holdes ansvarlig for skade eller tap som kan oppstå som følge av ukorrekt, manglende eller utilstrekkelig informasjon.