Os ataques drive-by download consistem em três fases:
1. A fase de exploração, durante a qual o atacante tem como objetivo executar shellcode no computador da vítima;
2. A fase de instalação, durante a qual o shellcode mencionado busca o binário malicioso real e passa a executá-lo;
3. A fase de controle, durante a qual o malware alcança seu servidor C & C para instruções, atividades de malware adicional e para enviar informações.
Nesse contexto surge o Nazca (como os pesquisadores apelidaram a ferramenta de detecção), que não procura detectar drive-by exploits que levam a downloads de malware, nem dependerá da análise e da reputação de programas baixados; ela concentra-se em infra-estruturas de distribuição de malware (ou seja, na segunda fase dos ataques). Além disso, o tráfego combinado produzido por um grande número de usuários na mesma rede, passa a detectar sinais reveladores como solicitações HTTP potencialmente maliciosas e conexões de Internet suspeitas, empregando técnicas evasivas (domain fluxing, malware repackaging, dentre outras).
Em sua fase final, o utilitário Nazca agrega todas estas conexões e realiza pesquisas para todas as atividades maliciosas relacionadas. Segundo informaram os pesquisadores, a ferramenta funcionou muito bem quando foi testada durante um período de nove dias de tráfego de dados fornecidos por um ISP não identificado. Dessa forma, Nazca revelou-se imune a ofuscação de conteúdo e apresentou um percentual baixíssimo de falsos positivos.
Saiba Mais:
[1] Net Security http://www.net-security.org/malware_news.php?id=2712