Virus-Infektionen vermeiden
Teil 3: Drive-by-Infektionen: Diese Abwehrstrategien helfen
- Drive-by-Infektionen: Diese Abwehrstrategien helfen
- Teil 2: Drive-by-Infektionen: Diese Abwehrstrategien helfen
- Teil 3: Drive-by-Infektionen: Diese Abwehrstrategien helfen
- Teil 4: Drive-by-Infektionen: Diese Abwehrstrategien helfen
- Teil 5: Drive-by-Infektionen: Diese Abwehrstrategien helfen
3. Werbung, die ansteckt
Sogar ein an sich vorbildlich gepflegter Webserver kann für Drive-by-Infektionen missbraucht werden, wenn er Webseiten bereitstellt, die externe Werbung beziehen, oder Widgets einbinden, die auf externe Dienste zugreifen. Kein Webserver ist gegen solche Gefahren immun.
Viele Webseiten finanzieren sich zumindest teilweise durch Werbung, die sie aus externen Quellen mittels Javascript oder iframes einbinden. Der Website-Betreiber hat nicht einmal ansatzweise Einfluss darauf, was in dem Werbenetzwerk wirklich vor sich geht.
Der Website-Betreiber geht typischerweise eine Geschäftsbeziehung mit einem vertrauenswürdigen Geschäftspartner ein. Dieser bezieht aber seine Werbung von verschiedenen externen Agenturen.
Einige davon nutzen wiederum die Dienste kleinerer Anbieter mit der benötigten Kundennähe in lokalen Märkten, um den Website-Besucher mit maßgeschneiderten regionalen Werbebotschaften per Geolocation zu versorgen. Es reicht, dass sich eine der beteiligten Agenturen einen Ausrutscher hinsichtlich der Sicherheit leistet, und schon ist das ganze Netzwerk von Geschäftsbeziehungen völlig kompromittiert.Das externe Werbenetzwerk kann Web-Clients, die dem Webserver vertrauen, somit völlig unbemerkt mit Malware infizieren. Dafür bedarf es nicht einmal einer Sicherheitslücke auf dem betreffenden Webserver. Die kriminellen Aktivitäten in den Log-Dateien des Webservers werden dabei nicht widergespiegelt.
4. Javascript-Widgets
Schließlich nutzen viele Webseiten externe Widgets wie Kalender-Systeme oder Besucherzähler, die als Javascript in die Webseite eingebunden werden und auf externe Domains zugreifen. Auch in diesem Fall werden Skripte und andere Inhalte in die Webseite eingebunden. Sollte das externe System einmal Cyberkriminellen zum Opfer fallen, kann es das Vertrauen des Webservers missbrauchen, um seine Web-Clients unbemerkt zu infizieren.
Anders als bei den bisher gut erforschten Botnets, die mittels Push-basierter Infektionen ihre Malware-Population schnell erhöhen konnten, funktionieren Drive-by-Infektionen im Pull-Verfahren. Eigentlich müsste sich solche Malware weniger schnell verbreiten, doch der Umstand, dass Drive-by-Infektionen sich nicht von Web-Proxys und NAT-Devices (Network-Address-Translation-Geräten) aufhalten lassen, kompensiert mehrfach die Schwächen des Pull-Verfahrens im Vergleich zu den Push-Technologien der Botnets.
Ein florierendes Geschäft
Mittlerweile lebt eine ganze Malware-Industrie davon, kommerzielle Tools zum Hacken von Webservern mit Drive-by-Infektionen zu vertreiben. Eines der führenden professionellen Web-Attack-Kits für vollautomatische Angriffe, dessen berüchtigter Name mit M beginnt, kann für 500 bis 1000 Euro erworben werden und rühmt sich einer Infektionsrate von 45 bis 50 Prozent.
Kommerziell erhältliche Malware-Kits für Drive-by-Infektionen nutzen bekannte und oft bereits behobene Sicherheitslücken in beliebten Desktop-Applikationen wie Apples Quicktime Player, Adobe Flash Player, Adobe Reader, Real Networks Realplayer oder Winzip und können auch Browser-spezifische Angriffe gegen den Internet Explorer, Firefox, Safari oder Opera durchführen.
Drive-by-Attacken beginnen typischerweise mit dem Erheben von Fingerprints eines Client-Zielsystems, das sich über einen Link in einer Spam-Mail oder in einem Diskussionsforum oder einfach aus freien Stücken auf eine von Hackern kontrollierte Webseite verirrt und die verwendete Version des Browsers und seiner Plugins preisgibt.
Frühwarnsysteme in Webbrowsern und E-Mail-Clients bieten keine absolute Sicherheit vor solchen Webseiten, weil sich die beteiligten Hacker-Domains häufig ändern und erst nach bekannt gewordenen Angriffen erkannt werden können. Wurden die Fingerprints des Zielsystems erst einmal erhoben, kann die Malware in Sekundenschnelle entscheiden, welche Sicherheitslücken die einfachsten Infektionswege darstellen.
Zu den ersten Opfern einer Malware-Epidemie gehören oft unverdächtige Opfer von Social Engineering. Dabei bedarf es nicht unbedingt außergewöhnlicher Naivität, um einem Malware-Angriff zum Opfer zu fallen. Eine neue Angriffsmethode, die sich für den Einsatz etwa auf öffentlichen Wifi-Hotspots bewährte, wurde Anfang des Jahres auf der Black Hat-Sicherheitskonferenz vorgestellt.
Ein Teilnehmer der Konferenz konnte erstmals die Machbarkeit von SSL-Spoofing mit einer Methode namens SSLstrip beweisen. Es stellte sich heraus, dass in einer Https- Verbindung, die zwischen dem Client-Computer und einer Login-Seite besteht, die Antwort des Servers in http umgeändert werden kann.Der Browser nimmt aber weiterhin an, dass es sich um eine verschlüsselte Verbindung handelt. Ein Proxy im lokalen Netzwerk, welcher ein gültiges SSL-Zertifikat benutzt, erzwingt weiterhin die Anzeige von https in der Adressleiste des Browsers, während die gefälschte URL einen vertrauenswürdigen Eindruck vermittelt. Mit dieser Angriffsmethode könnten beispielsweise Passwörter an einem öffentlichen Wifi-Hotspot abgehört werden.
Der engagierte Konferenzteilnehmer konnte mittels SSLstrip innerhalb von 24 Stunden 254 Passwörter von Yahoo, Gmail, Ticketmaster, Paypal und Linkedin abhören. Web-Administratoren, die zunehmend mobil arbeiten und auf Vorfälle auf dem Server aus der Distanz reagieren müssen, sollten sich der Gefahren von SSLstrip bewusst sein. Bei den Wartungsarbeiten an einem Server kann man nicht einmal einer SSL-Verbindung blind vertrauen, und schon ganz sicher nicht beim Zugang über öffentliche Netze.
