Drive-by-Downloads – Erklärung und Schutz

Eine große Bedrohung im Internet sind Drive-by-Infektionen. Bei dieser Art der Infektion werden Internetseiten kompromittiert und manipuliert, um Schadsoftware zu verbreiten.

Drive-by-Downloads – Erklärung und Schutz

Die klassische Drive-By-Infektion erfolgt in wenigen Schritten und ohne Zutun des Computernutzers. Zunächst wird der Schadcode über aktive Inhalte (z.B. Flash, Java, Java Script) in den Quellcode einer Internetseite eingebettet. Sobald ein ahnungsloser Nutzer die Internetseite aufruft, überprüft der manipulierte Code das Computersystem des Besuchers auf Sicherheitslücken. Wird er fündig, infiziert er das System und lädt weiteren Schadcode nach. Schadcode zur Einbindung des Computers in ein Botnet, Schadcode zum Ausspähen von Passwörtern, Schadcode zur Installation eines Keyloggers – der Zweck von Schadcode kann vielfältig sein.

In der jüngeren Vergangenheit sind Malware-Entwickler dazu übergegangen, spezielle Rootkits zu verwenden, um Malware besonders gut im System zu verstecken.

Drive-by-Download Funktionsweise
Wie ein typischer Drive-by-Download funktioniert.

Was genau sind Aktive Inhalte?

Aktive Inhalte sind interaktive Elemente auf Webseiten oder in E-Mails, die es dem Benutzer ermöglichen, direkt mit der Anwendung oder dem Inhalt zu interagieren. Diese Art von Inhalt wird häufig durch Skripte oder Plug-ins wie Javascript, Flash oder ActiveX bereitgestellt und kann den Benutzer dazu veranlassen, eine Vielzahl von Aktionen durchzuführen, wie z. B. das Ausfüllen von Formularen, das Abspielen von Videos oder das Durchsuchen von Bildergalerien.

Aktive Inhalte haben oft uneingeschränkten Zugriff auf die Ressourcen des Rechners. Dies stellt insbesondere in Unternehmen eine große Gefahr dar, da hier oft besonders sensible Daten gefährdet sind.

Nicht selten werden ganze Webseiten mit aktiven Inhalten erstellt. Die Nutzung dieser Seiten setzt den Nutzer oft unnötigen Sicherheitsrisiken aus. Nutzer, die sich diesen Risiken nicht aussetzen wollen, werden oft bewusst ausgeschlossen.

Drive-by-Infektionen per Malvertising

In den vergangenen Jahren sind zahlreiche seriöse Webseiten Drive-by-Angriffen zum Opfer gefallen. Darunter Webseiten wie Arcor, Hasbro, Huffington Post, PC-Welt, The New York Times, NBC, Amnesty International und sogar die Internetseite der Sparkasse.

Die Drive-by-Attacken wurden in den meisten Fällen mittels Malvertising durchgeführt. Unter Malvertising versteht man Angriffe, bei denen die Angreifer Schadcode in seriöse Online-Werbenetzwerke einschleusen. Die infizierten Werbeanzeigen sind nur schwer zu erkennen und werden den Verbrauchern auf seriösen Internetseiten wie Arcor, PC-Welt und Co. angezeigt.

Beim Besuch dieser Seite wird der Schadcode ausgeführt und die Schadsoftware unbemerkt auf dem Computer des Benutzers installiert.

Malvertising über Werbenetzwerke
Das Kapern eines Werbenetzwerks kann zu einer flächendeckenden Verbreitung des bösartigen Codes führen.

Wie schütze ich mich vor Drive-by-Infektionen?

Ähnlich wie Sie Ihr Haus oder Ihre Wohnung mit wenigen gezielten Maßnahmen vor Einbrechen schützen, können Sie auch bei Ihrem Computer einen Grundschutz mit wenigen Handgriffen realisieren.

  • Installieren Sie regelmäßig Sicherheitsupdates. Das gilt für alle Programme, auch für Browser-Erweiterungen (sogenannte Plugins). Welche Folgen Nachlässigkeit haben kann, mussten im März 2017 dutzende Unternehmen wie Telefónica und die Deutsche Bahn erfahren: Ihre Systeme wurden von dem Schadprogramm „WannaCry“ befallen, das eine Sicherheitslücke in Windows ausnutzte. Hätten die Betroffenen die Sicherheitsupdates eingespielt, die Microsoft eine Woche zuvor veröffentlicht hatte, wäre ihnen viel Zeit und Ärger erspart geblieben.
  • Sollte Ihr Browser tatsächlich ein Schadprogramm ausführen, so läuft dieses Programm mit allen Rechten eines Administrators. Das bedeutet, dass es beispielsweise Ihr Betriebssystem manipulieren kann. Sicherer ist es, einen eingeschränkten Account für die tägliche Arbeit anzulegen.
  • Installieren Sie ein Antivirus-Programm. Antivirenprogramme bieten einen guten Schutz vor Drive-by-Infektionen. Sie können ihre Schutzwirkung aber nur entfalten, wenn Sie das Antivirenprogramm regelmäßig auf dem neuesten Stand halten. Denn: Wie eine Grippeschutzimpfung im richtigen Leben müssen auch Virenschutzprogramme regelmäßig aufgefrischt werden, um die neuesten Bedrohungen erkennen und bekämpfen zu können.
  • Vermeiden Sie unseriöse Angebote im Internet. Öffnen Sie keine verdächtigen Links in E-Mails und besuchen Sie keine dubiosen Webseiten. Pornoseiten und Tauschbörsen verbreiten Schadprogramme oft per Drive-By-Angriff.
  • Vor Drive-by-Infektionen per Malvertising ↑ kann man sich recht zuverlässig schützen, mit dem Werbeblocker Adblock Plus (verfügbar für: Google Chrome, Mozilla Firefox und Microsoft Edge). Die Erweiterung dient nicht nur der Sicherheit, sondern beschleunigt auch den Lesefluss und das Browsen allgemein.
  • Aktive Inhalte wie zum Beispiel Java oder Java Script sind potenziell gefährlich. Trotzdem können Sie Scripting im Browser nicht einfach abschalten. Die meisten Websites benützen Skripte, ohne damit irgendetwas Böses zu bezwecken. Es gibt eine Reihe von Scriptblocker-Plugins für Browser. Sehr beliebt ist zum Beispiel das Plugin NoScript ↓. Installieren Sie diese Erweiterung (verfügbar für: Google Chrome, Mozilla Firefox und Microsoft Edge). Mit NoScript erlauben Sie nur vertrauenswürdigen Webseiten die Ausführung von aktiven Inhalten (Java, JavaScript, Flash). Eine sehr effektive Methode, um sich vor Drive-by-Downloads zu schützen.
  • Führen Sie Ihren Browser in einer Sandbox aus. Mit dem kostenlosen Sandbox-Tool Sandboxie kann der Browser isoliert vom Betriebssystem ausgeführt werden. Alle Schreibzugriffe auf die Windows-Registrierungsdatenbank oder auf sonstige Dateien werden auf einen speziellen Ordner umgeleitet. Fängt man sich einen Schädling ein, kann dieser keinen Schaden anrichten, sondern wird in die Sandbox umgeleitet. Leert man die Sandbox, wird auch der Schädling entfernt. Für Privatnutzer ist Sandboxie kostenlos. Mehr Informationen über die Funktionsweise und Bedienung in unserem Virenschutz-Leitfaden unter: Browser isoliert vom Betriebssystem ausführen.
  • Sichern Sie Ihre Daten regelmäßig (etwa auf DVD oder externen Festplatten), um diese im Falle eines Falles schnell wieder herstellen zu können. Bedenken Sie dabei, dass Datenverluste nicht nur durch Viren und andere Schädlinge drohen: Auch ein Festplattendefekt kann ihre Daten unwiderruflich zerstören.
  • Drive-by-Downloads sind nicht nur für den Computer eine Gefahr. Auch Smartphones und Tablets können sich per Drive-by infizieren. Zwar gibt es einige Faktoren, die diese Geräte deutlich sicherer machen, dennoch sollten Sie ein paar Dinge beachten:
    • Laden Sie nur vertrauenswürdige Apps aus dem Play Store oder dem App Store herunter.
    • Halten Sie immer alle Apps auf dem neuesten Stand.
    • Sie sollten Ihr Gerät niemals „jailbreaken“ oder „rooten“. Es sei denn, Sie sind ein sehr erfahrener Benutzer, der sich der zusätzlichen Sicherheitsgefahren und Herausforderungen bewusst ist.

Wer diese grundlegenden Sicherheitsmaßnahmen beachtet, leistet bereits einen entscheidenden Beitrag zum Schutz vor Drive-by-Downloads. Je nach individueller Nutzung des Computers, zum Beispiel beim Online-Banking oder beim Einkaufsbummel im virtuellen Einkaufszentrum, sind zusätzliche Schutzmaßnahmen empfehlenswert, um die Sicherheit im Netz weiter zu erhöhen. Wie diese Maßnahmen im Einzelnen aussehen und welche weiteren Möglichkeiten es gibt, sich vor den potenziellen Gefahren des Internets besser zu schützen, darüber informieren wir in unserem Ratgeber zur Basisabsicherung eines Computers.

Aktive Inhalte mit NoScript blockieren

NoScript

Flash, Java-Skripte und andere aktive Inhalte können für Drive-by-Angriffe verwendet werden. Eine Lösung wäre, Flash, Java und andere aktive Inhalte im Browser zu deaktivieren, doch leider gibt es vertrauenswürdige Internetseiten, die diese Inhalte nutzen. Mit der Browser-Erweiterung NoScript (verfügbar für: Google ChromeMozilla FirefoxMicrosoft Edge) können Sie anhand des Domainnamens entscheiden, ob Ihr Browser aktive Inhalte ausführen darf. Bei jedem Besuch einer Webseite prüft NoScript, ob aktive Inhalte benötigt werden. Standardmäßig werden alle aktiven Inhalte blockiert.

Bei blockierten Inhalten zeigt die Erweiterung die Anzahl der blockierten Inhalte an.

Die Anzahl der blockierten Scripte

Per Klick auf das NoScript-Icon öffnet sich ein Kontextmenü. Darüber lassen sich aktive Inhalte für die blockierte Seite aktivieren.

NoScript verbotene Inhalte

Wichtig: Das Einstellungsmenü von NoScript ist in mehrere Reiter unterteilt. Unter anderem gibt es einen Reiter mit der Bezeichnung „Berechtigungen pro Webseite vorhanden“. Hier werden die Domainnamen gespeichert, die aktive Inhalte ausführen dürfen. Weitere Domainnamen können mit wenigen Mausklicks hinzugefügt werden. Einige Webseiten wie Google und YouTube sind standardmäßig freigeschaltet. Bei unbekannten Domainnamen, die Sie nicht kennen oder nutzen, sollten Sie die Voreinstellung unbedingt auf „Standard“ ändern.

NoScript: Berechtigungen pro Webseite

Felix Bauer
Felix Bauer ist IT-Security Consultant (IT-Sicherheitsberater) mit 20 Jahren Erfahrung in der IT-Sicherheitsbranche. Felix Bauer begann im Alter von 14 Jahren mit der Analyse von Malwaresamples.

Zusätzlich zur Tätigkeit als Sicherheitsberater schreibt Felix Bauer häufig Fachbeiträge zu den Themen IT-Sicherheit und Internet-Technik. Seine Themenschwerpunkte: Antivirus, Sicherheitslücken und Malware. Unter anderem schrieb Felix Bauer bereits Fachbeiträge für die IT-Fachzeitschriften Computerwelt, Heise und IT-Administrator. Felix Bauer wurde in zahlreichen Fach- und News-Beiträgen erwähnt (u. a. in der Wiener Zeitung und in der Computerworld). Einige Referenzen finden Sie auf Felix Bauers Internetseite.

Felix Bauer besitzt den Abschluss Master of Science in Security and Forensic Computing.

Felix Bauer ist Mitbegründer der Initiative bleib-Virenfrei.