728x90

 

1. 개념

  • 사용자가 웹사이트를 방문하기만 해도 또는 의심 없이 클릭만 해도
  • 악성코드(malware)가 자동으로 다운로드되거나 실행되는 공격 방법입니다.
  • 사용자에게 명시적으로 다운로드나 설치 동의를 묻지 않습니다.
“운전하면서 지나가듯 웹사이트를 방문하는 것만으로도 감염된다” → 이게 ‘drive-by’의 어원입니다.

 

 

2. 어떻게 동작하는가? (공격 흐름)

  1. 악성 웹사이트 세팅
    • 공격자는 취약한 웹사이트를 해킹하거나, 자체적으로 악성 웹사이트를 만듭니다.
  2. 악성 코드 삽입
    • 웹페이지 안에 악성 스크립트(주로 JavaScript) 를 심어놓습니다.
    • 또는 광고 네트워크(Ad network)를 통해 악성 광고(Malvertising)를 삽입합니다.
  3. 사용자 방문
    • 피해자는 아무것도 모른 채 정상 웹사이트를 방문했다가 광고 또는 iframe을 통해 악성 코드에 노출됩니다.
  4. 취약점 스캔 및 악성코드 배포
    • 사용자의 브라우저, 플러그인(Flash, Java, ActiveX), PDF 뷰어, OS의 취약점을 스캔합니다.
    • 취약점이 발견되면 악성코드를 자동으로 다운로드 및 실행시킵니다.
  5. 결과
    • 사용자 기기는 랜섬웨어, 키로거, 백도어 등의 악성코드에 감염될 수 있습니다.

 

 

3. Drive-by Download의 유형

유형 설명
Automatic (자동) 사용자가 아무것도 클릭하지 않아도 백그라운드에서 악성코드가 설치
User-initiated (사용자 유도) “다운로드”나 “업데이트” 같은 메시지를 속여 클릭을 유도하여 악성 파일을 설치하게 함
최근에는 Automatic 형태로 공격이 이루어집니다.

 

 

4. Drive-by Download가 가능한 취약점 예시

  • 브라우저 취약점 (예: Chrome, Safari, Edge의 Zero-day)
  • 플래시 플레이어(Flash Player) 취약점
  • 자바(Java Applet) 취약점
  • PDF 리더기(Adobe Reader) 취약점
  • ActiveX 컨트롤 취약점
  • OS 자체 취약점
특히 업데이트가 안 된 소프트웨어가 주요 표적입니다.

 

 

5. Drive-by Download 공격 실제 사례

  • Angler Exploit Kit (2013~2016)
    • 사용자 브라우저를 스캔하고, 취약점이 발견되면 랜섬웨어를 자동 설치.
  • Neutrino Exploit Kit
    • 취약한 Flash Player 플러그인을 이용해 사용자 PC를 감염.
  • Malvertising
    • 유명 언론사 웹사이트의 광고 영역을 통해 악성코드를 배포.

 

6. Drive-by Download 방어 방법

항목 방어 방법
소프트웨어 업데이트 브라우저, 플러그인, OS 모두 항상 최신 버전 유지
취약한 플러그인 제거 Flash, Java Applet, ActiveX는 아예 비활성화하거나 삭제
신뢰할 수 없는 사이트 방문 금지 의심스러운 사이트나 링크를 클릭하지 않기
광고 차단 애드블록(Adblock)을 설치해 Malvertising을 차단
브라우저 보안 강화 Chrome의 “Site Isolation” 기능 등 활성화
안티바이러스 프로그램 사용 Drive-by Download를 탐지하고 차단할 수 있는 솔루션 사용

 

특히 요즘은 “제로 트러스트(Zero Trust) 모델” 로 웹 접속 자체를 격리시키는 방법도 사용합니다. (예: Web Isolation)

 

 

드라이브 바이 다운로드 공격에 대한 최근 트렌드

1. 정교한 사회공학 기법과 사용자 속임수의 진화

  • 공격자들은 가짜 CAPTCHA, Cloudflare Turnstile 모방, 브라우저 알림 허용 요청 등을 활용하여 사용자를 속이고 악성코드를 설치합니다.
  • 예를 들어, 사용자가 특정 문서를 검색하면 가짜 CAPTCHA를 통해 악성 웹사이트로 유도되고, 이후 브라우저 알림 허용을 요청하여 악성 확장 프로그램을 설치하게 됩니다.  

 

2. 합법적인 웹사이트와 광고 네트워크의 악용 증가

  • 공격자들은 신뢰받는 웹사이트나 광고 네트워크를 침해하여 악성 광고(Malvertising)를 삽입하고, 이를 통해 악성코드를 배포합니다.
  • 이러한 공격은 사용자가 클릭하지 않아도 웹페이지를 로드하는 것만으로도 감염이 발생할 수 있습니다.  

 

3. 익스플로잇 키트(Exploit Kit)의 지속적인 활용

  • RIG, Fallout 등의 익스플로잇 키트는 여전히 사용되며, 브라우저나 플러그인의 취약점을 자동으로 탐지하고 악성코드를 설치합니다.
  • 이러한 키트는 사용자의 시스템을 스캔하여 알려진 취약점을 찾아내고, 이를 통해 악성코드를 배포합니다.

 

4. 랜섬웨어와 정보 탈취형 악성코드의 결합

  • 드라이브 바이 다운로드는 단순한 악성코드 설치를 넘어, 랜섬웨어, 정보 탈취형 악성코드(Infostealer), 백도어 등을 설치하여 피해를 확산시킵니다.
  • 예를 들어, SocGholish는 가짜 소프트웨어 업데이트를 통해 악성 JavaScript를 실행하고, 이를 통해 다양한 악성코드를 설치합니다.
728x90

'정보보호' 카테고리의 다른 글

Snooping 공격에 대한 개념  (0) 2025.04.29
XSS Cross Site Script 공격 기법에 대한 개념 및 방어 방법  (0) 2025.04.28
Malware 악성코드에 대한 종류와 개념  (0) 2025.04.27
웹쉘(Web Shell) 개념  (0) 2025.04.27
침입탐지시스템(IDS) 개요  (0) 2025.04.23

+ Recent posts

티스토리툴바