根據(jù)思科ScanSafe的研究顯示，在2011年第一季度，企業(yè)用戶平均遇到274次基于web的惡意攻擊，比2010年增長103%。為何急劇增長?一個主要的原因是路過式下載(drive-bydownload)越來越多。路過式下載是犯罪分子用來在不知情的最終用戶的計算機上安裝病毒和間諜軟件的惡意方法。

路過式下載非常危險，因為這種攻擊方式非常隱蔽：顧名思義，這種攻擊方式會自動安裝軟件到最終用戶的計算機上，而用戶毫不知情。

“一旦攻擊者在用戶計算機上安裝了惡意軟件，用戶的計算機中的所有信息以及計算機連接到的網(wǎng)絡(luò)都將處于危險之中，”BarracudaNetworks公司的研究科學家DanielPeck表示。

事實上，在2011年接受卡巴斯基實驗室調(diào)查的所有企業(yè)中，有一半企業(yè)遭受過這種攻擊，并且造成部分數(shù)據(jù)丟失。

路過式下載如何進行攻擊

Peck表示，路過式下載主要通過利用web瀏覽器或瀏覽器內(nèi)的插件和其他組件中存在的漏洞來實現(xiàn)攻擊，并且可以采取多種方式。例如，你可能在隨心所欲地瀏覽網(wǎng)站時，突然進入一個攻擊者設(shè)計的網(wǎng)站，下載惡意軟件到你的計算機中，這種網(wǎng)站可能是攻擊者專為感染用戶計算機設(shè)計的網(wǎng)站，也可能是攻擊者通過漏洞攻擊的合法網(wǎng)站。Dasient公司(專門開發(fā)抵御web惡意軟件攻擊的軟件)指出每個月都有超過40萬個網(wǎng)站的近4萬個網(wǎng)頁被惡意軟件感染。

另一種路過式下載是通過廣告網(wǎng)絡(luò)。在2009年，紐約時報被攻擊者安插了一條假冒防病毒軟件的廣告，點擊廣告的用戶會被重定向到偽裝殺毒軟件網(wǎng)站，并誘騙用戶輸入信用卡信息來購買殺毒軟件。次年，谷歌和微軟的在線廣告網(wǎng)絡(luò)也遭遇了同樣的攻擊。SoleraNetworks公司的研究實驗室的威脅研究總監(jiān)AndrewBrandt表示，犯罪分子仍然在試圖使用廣告網(wǎng)絡(luò)來散步惡意軟件，因為廣告網(wǎng)絡(luò)能夠快速將惡意軟件安裝到很多人的電腦上。

還有一種路過式下載會提示用戶進行一項操作以允許惡意軟件控制他們的電腦。最常見的例子就是流氓殺毒軟件。你在訪問網(wǎng)頁時，會突然看到一個彈出窗口，看起來像是你計算機中的合法殺毒程序，該程序會告訴你它檢測到一個病毒，并要求你點擊進行免費病毒掃描。

雖然流氓殺毒軟件的危害不小，但這并不是最大的威脅，因為IT部門會教育最終用戶不要落入這種陷阱。“只有一些路過式下載攻擊需要依賴用戶的不慎點擊”，Brandt表示，“那些完全獨立于用戶操作的攻擊才是最具破壞性的。”

Barracuda實驗室的Peck估計，用戶訪問的每一千個網(wǎng)頁中有一個網(wǎng)頁是惡意的，并試圖對用戶執(zhí)行一些漏洞利用攻擊。

“路過式下載攻擊可以悄無聲息的進行，只有一些路過式下載攻擊是可以避免的，越來越多的路過式下載攻擊無法避免，”Brandt表示。

是什么引發(fā)了路過式下載攻擊熱潮?

Brandt、Peck和其他安全專家表示路過式下載攻擊發(fā)生的頻率越來越高。Peck說：“最近，路過式下載攻擊形式似乎越來越受歡迎。”

Brandt認為，路過式下載如此盛行是因為用于感染網(wǎng)站的攻擊工具包很容易在黑市上買到，這種攻擊包非常好用，并且是自動化的，讓攻擊者可以在盡可能多的服務器上散播惡意軟件。

瀏覽器環(huán)境的日益復雜也是路過式下載攻擊盛行的原因之一。隨著瀏覽器插件、附件的增加，就有更多漏洞可以供攻擊者利用。

“通過創(chuàng)造性地使用JavaScript和其他腳本組件，惡意攻擊者可以成功利用這些漏洞，并讓他們隨心所欲地運行任何代碼，”Peck補充說。

Brandt表示，惡意攻擊者通過路過式下載安裝的程序范圍包括：從讓用戶計算機崩潰的病毒到啟動和停止應用程序和瀏覽文件系統(tǒng)的惡意PHP腳本。路過式下載還可以安裝間諜軟件、遠程訪問軟件、按鍵記錄軟件以及能夠在幾秒鐘內(nèi)從計算機提取信息的木馬程序等。它可以將計算機變成僵尸網(wǎng)絡(luò)，或者使計算機成為其分布式拒絕服務攻擊(DDoS)的一部分。

安全顧問公司JASGlobalAdvisors公司首席執(zhí)行官JeffSchmidt表示，路過式下載的問題在短期內(nèi)并不會緩和。“現(xiàn)在，隨著HTML5的出現(xiàn)，瀏覽器周圍的界限正在減少，所以我認為路過式下載的問題可能在未來會得到緩解。”

在那之前，路過式下載對于技術(shù)支持團隊和用戶來說仍然是一個噩夢。然而，雖然路過式下載將繼續(xù)為不知情的用戶制造混亂，IT部門可以采取一些措施來抵御這些隱形攻擊。

保護員工免受路過式下載攻擊的六種方法

1.鼓勵員工保持軟件更新。Peck、Brandt和Schmidt都認為，為了保護員工免受路過式下載攻擊，IT部門可以采取的一個最重要的措施就是鼓勵用戶保持所有軟件的更新，特別是殺毒軟件、瀏覽器以及所有插件和附件，包括Java、Flash和AdobeAcrobat。

確保員工使用最新版本的瀏覽器和擴展是非常重要的，因為很多員工都習慣使用最新版本之前的版本，而大多數(shù)路過式下載攻擊都是利用較舊瀏覽器和插件版本中存在的漏洞。AdobeAcrobat是最常用的過時插件，也是惡意攻擊者最常利用的漏洞。

安裝軟件更新經(jīng)常會對最終用戶造成滋擾，因為更新(尤其是windows系統(tǒng))似乎會隨機彈出，打斷用戶的工作，并常常被用戶忽視。IT部門需要提醒最終用戶花五分鐘來安裝這些更新將大大降低通過路過式下載感染病毒而導致生產(chǎn)力下降的幾率。

2.安裝web過濾軟件。Web過濾產(chǎn)品可以阻止用戶訪問被路過式下載感染的網(wǎng)站，這些產(chǎn)品可能有內(nèi)置機制來檢測網(wǎng)站是否安全，如果不安全，它們將阻止用戶訪問。有些產(chǎn)品則是尋找已知漏洞利用和路過式下載攻擊的跡象。

3.在你的火狐瀏覽器上安裝NoScript。NoScript是一款免費開源附件，允許你只能訪問運行JavaScript、Java和Flash的受信任網(wǎng)站。Brandt表示，使用具有NoScript的火狐瀏覽器能夠抵御“很多”路過式下載。“至少我可以告訴大家，這是防止windows計算機通過路過式下載意外感染病毒的唯一的萬無一失的方法。”

4.禁用Java。Brandt鼓勵用戶在其PDF閱讀器參數(shù)中禁用PDF文檔內(nèi)的JavaScript。他還建議IT部門從他們控制的所有系統(tǒng)中卸載Java，至少在CVE-2011-3544漏洞被解決之前，這個存儲在Java歸檔文件內(nèi)的惡意Java應用程序允許未簽名的小應用程序可以不受限制地訪問運行任意Java代碼。

5.監(jiān)視BLADE系統(tǒng)。BLADE代表阻止所有路過式下載漏洞利用(BlockAlldrive-bydownloadExploits)，這是一個新興的windows免疫系統(tǒng)，能夠防止路過式下載攻擊感染有漏洞的windows計算機。該系統(tǒng)由GeorgiaTech和SRIInternational的研究人員開發(fā)而成，BLADEv1.0是免費的研究版本，不久將可供大家下載使用。

6.不要授予用戶對計算機的管理員訪問權(quán)限。當分配計算機給用戶使用時，精明的IT部門會為員工分配標準用戶賬戶，而不會授予最終用戶對其計算機的本地管理訪問權(quán)限。

“讓每個人擁有對其計算機的本地管理訪問權(quán)限，這曾經(jīng)是標準做法，”Schmidt表示，“從安裝驅(qū)動器的角度來看，這樣做讓事情更簡單，但同時這也意味著任何以軟件都能夠訪問該計算機。”

Schmidt補充說，限制用戶的訪問權(quán)限能夠減輕惡意軟件的破壞程度，“如果用戶打開瀏覽器，并且無意下載了惡意軟件，那么惡意軟件的破壞程度就被限制在了用戶層面，它并不能控制整個計算機。”

【編輯推薦】

1. Web應用安全成為安全防御的關(guān)鍵一環(huán)
2. 六步措施保障Web應用安全
3. 構(gòu)建虛擬專用網(wǎng)的應用安全
4. 如何確保 Web應用安全