Tweet
Drive-By-Download : Vecteur d'infection malware
Bonjour 
Je m'intéresse au vecteur d'infection "drive by download" de malware, qui consiste grosso modo à télécharger depuis un site malveillant un programme qui s’exécute tout seul, et ce manière transparente sans que l'utilisateur s'en aperçoive.
Je trouve cette technique très étonnante : comment JavaScript qui est un langage de haut niveau script peut-il, depuis un navigateur, interagir avec l'OS du client ?
De plus, à titre informatif toujours, je me demande quelles sont les techniques employées pour la phase de téléchargement & exécution.
J'ai déjà trouvé un papier fort intéressant plus ou moins sur le sujet, mais qui semble ne concerner que l'appel du code malveillant dans le site. C'est à dire l'incorporation du code malveillant dans une <iframe> afin d'esquiver les detections du navigateur.
Avez vous de la doc sur le sujet ?
Est-ce réalisé avec des fonctions basiques sans protection inhérentes à JavaScript (download()...), ou bien avec des techniques type buffer-overflow, dépendant alors du navigateur et de sa version ?
Sauf erreur, je n'ai pas trouvé de topic similaire sur le site. En espérant que ça en intéresse plus d'un.
Merci
[EDIT] : en fait je viens de trouver un topic de SAKAROV, mais avec une technique bien différente.
Je m'intéresse au vecteur d'infection "drive by download" de malware, qui consiste grosso modo à télécharger depuis un site malveillant un programme qui s’exécute tout seul, et ce manière transparente sans que l'utilisateur s'en aperçoive.
Je trouve cette technique très étonnante : comment JavaScript qui est un langage de haut niveau script peut-il, depuis un navigateur, interagir avec l'OS du client ?
De plus, à titre informatif toujours, je me demande quelles sont les techniques employées pour la phase de téléchargement & exécution.
J'ai déjà trouvé un papier fort intéressant plus ou moins sur le sujet, mais qui semble ne concerner que l'appel du code malveillant dans le site. C'est à dire l'incorporation du code malveillant dans une <iframe> afin d'esquiver les detections du navigateur.
Avez vous de la doc sur le sujet ?
Est-ce réalisé avec des fonctions basiques sans protection inhérentes à JavaScript (download()...), ou bien avec des techniques type buffer-overflow, dépendant alors du navigateur et de sa version ?
Sauf erreur, je n'ai pas trouvé de topic similaire sur le site. En espérant que ça en intéresse plus d'un.
Merci
[EDIT] : en fait je viens de trouver un topic de SAKAROV, mais avec une technique bien différente.
Commentaire