路过式攻击

路过式攻击

攻击者可以通过用户在正常浏览过程中访问网站来访问系统。使用这种技术，用户的 Web 浏览器通常是攻击目标，但攻击者也可能使用受感染的网站进行非攻击行为，例如获取应用程序访问令牌。

存在多种向浏览器发送漏洞利用代码的方式，包括：

• 当攻击者注入某种形式的恶意代码（例如 JavaScript、iFrame 和跨站点脚本）时，合法网站就会受到损害。
• 恶意广告是通过合法的广告提供商付费和提供的。
• 内置 Web 应用程序接口用于插入任何其他类型的对象，这些对象可用于显示 Web 内容或包含在访问客户端上执行的脚本（例如论坛帖子、评论和其他用户可控制的 Web 内容）。

通常，攻击者使用的网站是由特定社区（例如政府、特定行业或地区）访问的网站，其目标是根据共同兴趣损害特定用户或一组用户。这种有针对性的攻击被称为战略性网络入侵或水坑攻击。这种情况有几个已知的例子。

典型的路过攻击过程：

• 用户访问托管攻击者控制内容的网站。
• 脚本会自动执行，通常搜索浏览器的版本和插件以查找可能存在漏洞的版本
  • 可能需要用户通过启用脚本或激活网站组件并忽略警告对话框来协助此过程
• 找到易受攻击的版本后，漏洞利用代码会传送到浏览器。
• 如果漏洞利用成功，那么他将在用户系统上执行攻击者的代码，除非有其他保护措施
  • 在某些情况下，需要在初始扫描后再次访问网站，然后才能发送漏洞利用代码。

与利用面向公众的应用程序不同，该技术的重点是在访问网站时利用客户端上的软件。这通常会让攻击者获得对内部网络系统的访问权，而不是可能位于 DMZ 中的外部系统。

攻击者还可能使用受感染的网站将用户传送到旨在窃取应用程序访问令牌（如 OAuth 令牌）的恶意应用程序，以获取对受保护应用程序和信息的访问权限。这些恶意应用程序是通过合法网站上的弹出窗口传送的。

缓解

路过式攻击依赖于客户端系统上存在易受攻击的软件。使用现代浏览器并开启安全功能。确保所有的浏览器和插件保持更新，有助于避免该技术的exploit阶段。对于通过广告提供的恶意代码，adblockers可以辅助阻止代码的初始执行。脚本拦截扩展可以辅助拦截在漏洞利用过程中经常使用的 JavaScript 的执行。可以使用浏览器沙箱可以缓解漏洞利用的一些影响，但沙箱逃逸可能仍然存在。

其他类型的虚拟化和应用程序微分段也可以减轻客户端利用的影响。对于这些类型的系统，可能仍然存在额外的漏洞利用和实施中的弱点的风险。

查找漏洞利用过程中的行为的安全应用程序，例如 Windows Defender Exploit Guard (WDEG) 和增强的缓解体验工具包 (EMET)，可用于缓解某些漏洞利用行为。 控制流完整性检查是另一种可能识别和阻止软件漏洞利用的方法。 其中许多保护依赖于体系结构和目标应用程序二进制文件的兼容性。

检测

防火墙和代理可以检查 URL 中是否存在潜在的已知坏域或参数。他们还可以对网站及其请求的资源进行基于声誉的分析，例如域的年龄、注册的对象、是否在已知的黑名单上，或者之前有多少其他用户连接过它。

网络入侵检测系统，有时使用 SSL/TLS MITM 检查，可用于查找已知的恶意脚本（recon、堆喷射和已被经常重用的浏览器识别脚本）、常见脚本混淆和漏洞利用代码。

检测基于合法网站的路过式攻击可能是困难。还要在终端系统上查找可能表明成功入侵的行为，例如浏览器进程的异常行为。这可能包括写入磁盘的可疑文件、有关试图隐藏执行的进程注入证据、有关披露技术的证据或其他可能表明其他工具传输到系统的异常网络流量。