Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Hintergrundwissen: Wie Drive-by-Angriffe funktionieren

Sicherheit: Attacken über Web-Seiten

Hintergrundwissen: Wie Drive-by-Angriffe funktionieren

27. April 2009, 15:42 Uhr | Bernd Reder
Fortsetzung des Artikels von Teil 2

Ad-Server werden manipuliert

Laut Scansafe stieg die Zahl webbasierter Schadprogramme im dritten Quartal 2008 im Vergleich zum ersten Quartal um 338 Prozent. Fast 31 Prozent aller Malware-Bedrohungen im September 2008 waren Zero-Day-Bedrohungen. Für eine Zero-Day-Bedrohung existiert noch kein Patch. Verglichen mit Januar 2008 stieg das Risiko von Backdoor- und PSW-Trojanern bis September 2008 um 267 Prozent.

Eine andere Strategie der Angreifer besteht darin, Advertising-Server von Drittanbietern zu manipulieren. Damit leiten sie die Rechner von Windows-Nutzern auf so genannte Rogue-Server (illegale Server) um, die Drive-by-Downloads hosten. Diese bösartigen Werbeanzeigen (»Malvertisement«) basieren normalerweise auf Flash und nutzen Löcher in nicht gepatchten Desktop-Anwendungen aus.

Exploit-Kits für Malware fungieren als Vehikel für Drive-by-Downloads. Dabei handelt es sich um Profi-Software, die auf einem Server mit Datenbank-Backend liegt. Diese Kits sind über illegale Hacker-Sites erhältlich und mit Exploits für Sicherheitslücken verbreiteter Desktop-Applikationen ausgerüstet. Dazu gehören unter anderem Apple Quicktime Media Player, Adobe Flash Player, Adobe Reader, Real Networks Realplayer und Winzip.

Außerdem setzen die Angreifer Browser-spezifische Exploits ein. Diese nutzen Schwachstellen in gängigen Browsern aus, etwa Microsoft Internet Explorer, Mozilla Firefox, Apple Safari und Opera. Viele Exploit-Kits enthalten lediglich einen speziellen Angriffscode, der Sicherheitslücken in Adobe PDF oder bekannte Schwachstellen in ActiveX-Controls ausnutzt.


Inhalt eines Exploit-Kits: Wie an den Bezeichnungen MSxx-xxx deutlich wird, zielen solche Kits oft auf ältere Sicherheitslöcher, beim MS06-067 auf eines aus dem Jahr 2006.

Identitätsdiebe und andere Verfasser von Schadprogrammen kaufen diese Exploit-Kits und installieren sie auf einem manipulierten Server. Ein Code, der Internetaktivitäten auf diesen bösartigen Server umleitet, wird auf bestimmten Web-Sites platziert. Um User auf die infizierten Seiten zu locken, verschicken die Übeltäter ihre Links anschließend per Spam-Mails oder stellen sie in Internet-Foren.

Ein Server mit einem Exploit-Kit ist in der Lage, über den HTTP-Request-Header sowohl Typ und Version des Browsers des Besuchers als auch das von ihm verwendete Betriebssystem zu bestimmen. Ist das Betriebssystem erst einmal ermittelt, kann das Exploit-Kit den passenden Exploit auswählen.

Manchmal können Web-Sites mehrere Exploits gleichzeitig versenden, die dann versuchen, einen Rechner über Sicherheitslücken in einer Anwendung zu manipulieren. Einige der weiter ausgereiften Exploits erhalten einen regelrechten Support und werden monatlich mit den neuesten Updates versehen.

Die Kits kommen mit einer gut aufgebauten Bedieneroberfläche, in der detaillierte Informationen über erfolgreiche Angriffe gespeichert sind. Diese Angaben reichen von erfolgreich angegriffenen Betriebssystemversionen über das Herkunftsland infizierter Rechner und das dabei verwendete Exploit bis hin zur Erfolgsquote der Exploits, die sich an der Besucherzahl einer manipulierten Web-Site bemisst.

Die Grundlage für Drive-by-Downloads bilden Windows-Systeme, deren User es versäumt haben, Patches einzuspielen. Mit wenigen Ausnahmen richten sich die in Umlauf befindlichen Exploits gegen bekannte Sicherheitslücken, für die bereits Updates existieren.

Die automatischen Microsoft-Updates bieten Anwendern eine gute Möglichkeit, die Sicherheitslücken ihres Betriebssystems zu schließen. Anders sieht es jedoch bei Desktop-Applikationen von Fremdanbietern aus.

Secunia, ein Unternehmen, das sich auf die Identifizierung von Sicherheitslücken in Softwareprogrammen spezialisiert hat, schätzt, dass rund ein Drittel aller Desktop-Applikationen durch eine bekannte (gepatchte) Sicherheitsbedrohung gefährdet sind.


Ein kostenloses Online-Tool von Secunia prüft Rechner daraufhin, ob für aktuellen - und damit sicheren - Versionen von Anwendungen installiert sind. In diesem Fall nicht: Der Adobe Flash Player muss upgedatet werden.

Betrachtet man die vorhandenen Exploit-Kits, so entdeckt man diverse »alte« Sicherheitslücken wie MS06-014 und MS05-052, die auch Jahre nach Entwicklung des entsprechenden Patches in Umlauf sind. Die dritte und vierte Ziffer geben das Jahr an, in dem das Bulletin veröffentlicht wurde, beim MS06-014 etwa im Jahr 2006.

Die zielorientierten Exploit-Packages, die sich ausschließlich gegen Schwachstellen im Adobe PDF Reader richteten, waren trotz Verbesserungen des Security-Response-Prozesses von Adobe höchst erfolgreich. Der Adobe Flash Player, der auf nahezu allen internetfähigen Computern installiert ist, stellt ebenso wie der Real Player ein weiteres beliebtes Zielobjekt dar.

  1. Hintergrundwissen: Wie Drive-by-Angriffe funktionieren
  2. Neue Taktik: Drive-by-Angriffe
  3. Ad-Server werden manipuliert
  4. Tipps: Angriffe vermeiden

Lesen Sie mehr zum Thema

Kaspersky Lab GmbH
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Kaspersky Lab GmbH

Kaspersky: Docker-API im Visier

Container sind Angriffsziel

Ransomware-Statistik von Kaspersky

Keine Entwarnung bei Erpresser-Malware

Kaspersky-Umfrage 

Kann Cyber-Immunität die Zahl von Cyberangriffen reduzieren?

Kaspersky warnt Unternehmen und Nutzer

Banking-Malware: 3,6-mal mehr Angriffe auf mobile Anwender

Kaspersky: APTs finden viele Opfer

Besorgniserregender Trend bei zielgerichteten Angriffen

Matchmaker+
Panduit

Panduit

HP Deutschland GmbH

HP Deutschland GmbH
KONZEPTUM GmbH

KONZEPTUM GmbH
AixpertSoft GmbH

AixpertSoft GmbH
WatchGuard Technologies

WatchGuard Technologies
Zyxel Networks A/S

Zyxel Networks A/S