Kaspersky Lab veröffentlicht das Whitepaper „Drive-by-Downloads. Das Internet unter Belagerung“

Kaspersky Lab, führender Hersteller von Systemen zum Schutz vor schädlicher und unerwünschter Software, Hackerattacken und Spam, veröffentlicht das Whitepaper „Drive-by-Downloads. Das Internet unter Belagerung“, verfasst von Ryan Naraine, einem Experten für Informationssicherheit bei Kaspersky Lab. Das Whitepaper widmet sich dem Download von Schadsoftware von Webseiten, der ohne Kenntnis des Anwenders erfolgt – den sogenannten Drive-by-Angriffen. Im Artikel wird detailliert beschrieben, wie Anwender auf infizierte Seiten gelockt werden, welche Technologien verwendet werden, um Angriffe zu organisieren, und wie Cyberkriminelle mithilfe der Drive-by-Downloads persönliche Daten stehlen und die Computer der Anwender erobern.

Die Cyberkriminellen streben danach, das Internet zur Verbreitung von Viren, Spionage- und Trojanerprogrammen, Rootkits, falscher Software zum Datenschutz und Utilities zur Schaffung von Botnets maximal auszunutzen. Die Übertragung der Schadsoftware von Webseiten durch Drive-by-Downloads gestattet es, die PCs der Anwender unbemerkt zu infizieren. Aus diesem Grunde ist diese Methode bei den Cyberkriminellen so besonders populär: Nach den Daten des Unternehmens ScanSafe waren 74 Prozent der gesamten Malware, die im 3. Quartal 2008 entdeckt wurde, auf infizierten Webseiten platziert.

Ein Drive-by-Angriff erfolgt in zwei Etappen. Zuerst wird der Anwender mittels Spam-Mails oder in Netz-Foren platzierte Mitteilungen auf eine Webseite gelockt, die einen vom Angreifer hinterlegten Programmcode enthält. Dieser leitet die Anfrage auf einen Fremdserver weiter, auf dem ein Exploit platziert ist.

Bei den Drive-by-Angriffen nutzen die Kriminellen Sammlungen von Exploits, die auf illegalen Hackerseiten angeboten werden. Exploits, die zu solchen Sammlungen gehören, können auf bestimmte Schwachstellen verschiedener Web-Browser gerichtet sein, auf deren Module (Plug-ins), Schwachstellen der ActiveX-Komponenten oder aber Lücken im Schutz anderer Anwendungen. Der Server, auf dem die Exploit-Sammlungen platziert sind, kann Daten aus der http-Anfrage des Anwender-Browsers dazu nutzen, um den Browsertyp zu bestimmen, seine Version sowie das verwendete Betriebssystem. Sobald das Betriebssystem des Opfers bestimmt ist, wird der passende Exploit aus der Sammlung aktiviert. In einigen Fällen können gleichzeitig mehrere Exploits, die den Computer infizieren sollen, aktiv sein, indem sie die Schwachstellen in verschiedenen Anwendungen ausnutzen.

Bei einem erfolgreichen Angriff wird – für den Nutzer unbemerkt – ein Trojanerprogramm installiert, das den Kriminellen die vollständige Kontrolle über den infizierten Computer verschafft. Nachfolgend erhalten sie Zugang zu vertraulichen Daten auf diesem Computer und die Möglichkeit, von diesem aus DoS-Angriffe zu starten.

Früher haben die Übeltäter schädliche Seiten geschaffen, doch in letzter Zeit begannen die Hacker gesetzestreue Web-Ressourcen zu infizieren, indem sie auf diesen Script-Exploits oder einen Code zur Adress-Änderung der Anfragen platzieren, was die Angriffe über den Browser noch gefährlicher macht.

IT-Sicherheitsexperten sprechen von einer flächendeckenden Epidemie von Drive-by-Angriffen. In den letzten 10 Monaten des Jahres 2008 analysierte das Google Anti-Malware Team Milliarden von Seiten auf der Suche nach schädlichen Aktivitäten und entdeckte mehr als drei Millionen URL-Adressen, auf denen sich Exploits befanden, die Drive-by-Angriffe nutzen. Die Epidemie der Drive-by-Angriffe ist vor allem damit verbunden, dass auf vielen Computern keine Windows-Updates installiert sind: Die Mehrzahl der Exploits nutzt bekannte Schwachstellen aus, zu denen Patches existieren.

Zusammenfassend gibt der Autor einige Empfehlungen, die den Anwendern helfen, Angriffe unter Verwendung von Drive-by-Downloads zu vermeiden. Der effektivste Weg zum Schutz vor Drive-by-Downloads ist die aktuelle und vollständige Installation der von den Softwareherstellern herausgegebenen Updates. Darüber hinaus sollten Web-Browser genutzt werden, die es gestatten, Phishing- und schädliche Seiten zu blockieren (Internet Explorer, Mozilla Firefox und Opera). Des Weiteren sollte man unbedingt die Firewall aktivieren, Antiviren-Software installieren und die Antiviren-Datenbanken auf aktuellem Stand halten. Dabei ist wichtig, dass das Antiviren-Produkt den Internet-Traffic scannt, um rechtzeitig Angriffsversuche mit Drive-by-Downloads zu entdecken.

Das vollständige Whitepaper finden Sie auf Webseite Viruslist.com/de.