Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Hintergrundwissen: Wie Drive-by-Angriffe funktionieren

Sicherheit: Attacken über Web-Seiten

Hintergrundwissen: Wie Drive-by-Angriffe funktionieren

27. April 2009, 15:42 Uhr | Bernd Reder
Fortsetzung des Artikels von Teil 1

Neue Taktik: Drive-by-Angriffe

Die klassischen Wege der Malware-Verbreitung funktionieren auch deshalb nicht mehr so gut, weil Anwender vorsichtiger sind. Sie blockierten E-Mail-Anhänge oder öffneten seltsam anmutende Attachments nicht.

Beide Faktoren zwangen die Angreifer zu einem Wechsel ihrer Taktik. Ein Ergebnis ist der Drive-by-Download-Angriff. Dabei wird der Browser als Hilfsmittel für die Verbindung von Computern mit Servern benutzt, die schädliche Exploits hosten.


Ablauf einer Drive-by-Attacke: In mehreren Schritten wird geprüft, ob der Rechner des Opfers ein Sicherheitsloch aufweist. Wenn ja, wird zu einem Server eine Verbindung aufgebaut, von dem Malware wie etwa ein Trojaner heruntergeladen wird.

Normalerweise erfolgt der Angriff in zwei Schritten: Der Anwender ruft zunächst eine präparierte Web-Site auf. Diese leitet die Verbindung dann zu einem Server mit Exploits um. Die Exploits können sich gegen Sicherheitslücken im Web-Browser, ein nicht gepatchtes Browser-Plug-in, eine kritische Lücke in einem ActiveX-Control-Element oder jede andere Schwachstelle einer Fremdsoftware richten.

Nach Erkenntnissen von Kaspersky Lab und anderen Unternehmen aus der IT-Sicherheitsbranche befinden wir uns inmitten einer Drive-by-Download-Epidemie riesigen Ausmaßes. Das Anti-Malware-Team von Google arbeitete sich kürzlich zehn Monate lang durch Milliarden von Web-Seiten und identifizierte mehr als drei Millionen URLs, die als Verbreiter von Drive-by-Malware dienen.

Noch schockierender ist die Feststellung, dass bei zirka 1,3 Prozent aller bei Google eingehenden Suchanfragen mindestens eine als schädlich eingestufte URL auf der Ergebnisseite auftaucht, wie eine von Google veröffentlichte Studie feststellt.

Zu Beginn des Drive-by-Download-Zeitalters erstellten Hacker schädliche Web-Sites normalerweise selbst und nutzten Social-Engineering-Tricks als Köder, um Besucher auf diese Seiten zu locken. Diese Strategie ist auch weiterhin eine Hauptursache schädlicher Aktivitäten im Netz.

Angreifer hacken in letzter Zeit aber auch verstärkt Web-Sites von Unternehmen oder Behörden. Sie schleusen entweder heimlich eigenen Code ein oder implementieren einen Redirect-Code, der unbemerkt Angriffe über den Browser startet.

Im Jahr 2007 zeigte eine Aufsehen erregende Web-Site-Manipulation, wie Drive-by-Downloads gegen Computerbenutzer eingesetzt werden. In den Wochen vor dem NFL-Superbowl-Spiel in den USA hackten Cyber-Kriminelle die Web-Site des Miami-Dolphin-Stadions, des Veranstaltungsorts des Spiel. Sie infizierten die Seite mit einem Bruchstück eines selbst fabrizierten Javascript-Codes.


Der Javascript-Schnippsel, mit dem Angreifer 2007 die Web-Seite des Stadions der Miami Dolphins infiltrierten.

Jeder Nutzer, der diese Web-Site von einem nicht gepatchten Windows-PC aus aufrief, verband sein System unwissentlich mit einem Remote-Exploit. Dieser versuchte, bekannte und in den Microsoft-Security-Bulletins MS06-014 und MS07-004 beschriebene Sicherheitslücken auszunutzen.

War der Exploit-Code erfolgreich, wurde heimlich ein Trojaner installiert, der dem Angreifer vollen Zugriff auf den infizierten Computer ermöglichte. Später konnte der Angreifer den verseuchten Rechner zum Diebstahl vertraulicher Daten missbrauchen oder ihn in ein Bot-Netz integrieren.

Ebenfalls 2007 wurde die stark besuchte Web-Site der Bank of India Ziel eines komplexen Angriffs. Er kombinierte Mehrfachumleitungen, zwei schwer zu erkennende Rootkits, zwei Trojan-Downloader und drei Backdoor-Trojaner miteinander. Durch die Mehrfachumleitungen wurden Windows-Rechner zu einem Server gelotst, der einen E-Mail-Wurm beherbergte.


Auch die Web-Seite der Bank of India wurde für Drive-by-Angriffe missbraucht.

Der Angriff auf die Web-Site der Bank of India verband die Verschleierung mittels Javascript mit vielfachen iFrame-Umleitungs-Hops und Fast-Flux-Techniken, um eine Entdeckung zu verhindern und die manipulierten Server während des Angriffs online zu halten.

  1. Hintergrundwissen: Wie Drive-by-Angriffe funktionieren
  2. Neue Taktik: Drive-by-Angriffe
  3. Ad-Server werden manipuliert
  4. Tipps: Angriffe vermeiden

Lesen Sie mehr zum Thema

Kaspersky Lab GmbH
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Kaspersky Lab GmbH

Kaspersky: Docker-API im Visier

Container sind Angriffsziel

Ransomware-Statistik von Kaspersky

Keine Entwarnung bei Erpresser-Malware

Kaspersky-Umfrage 

Kann Cyber-Immunität die Zahl von Cyberangriffen reduzieren?

Kaspersky warnt Unternehmen und Nutzer

Banking-Malware: 3,6-mal mehr Angriffe auf mobile Anwender

Kaspersky: APTs finden viele Opfer

Besorgniserregender Trend bei zielgerichteten Angriffen

Matchmaker+
kiwiko eG - IT-Expertennetzwerk

kiwiko eG - IT-Expertennetzwerk
Zyxel Networks A/S

Zyxel Networks A/S
Redgate Software

Redgate Software
Xelion GmbH

Xelion GmbH
Softing IT Networks GmbH

Softing IT Networks GmbH
WEKA MEDIA PUBLISHING GmbH

WEKA MEDIA PUBLISHING GmbH