Drive-by-Downloads – Erklärung und Schutz

Drive-by-Downloads
Drive-by-Downloads
Die aktuell größte Bedrohung im Internet sind Drive-by-Infektionen. Bei dieser Art von Infektionen werden vertrauenswürdige Internetseiten kompromittiert und so manipuliert, dass sie bösartige Schädlinge verbreiten. Die klassische Infizierung erfolgt in 2 Schritten und ohne Zutun des Computernutzers. Zuerst wird der Schadcode – per iFrame/JavaScript-Code – in den Quellcode einer Internetseite eingebunden. Sobald ein ahnungsloser Benutzer die Internetseite aufruft, prüft der JavaScript-Code das Computersystem des Besuchers auf Sicherheitslücken. Wird er fündig, infiziert er das System und lädt weiteren Schadcode nach. Schadcode zur Integration des Computers in ein Botnet, Schadcode zum Ausspähen von Passwörtern, Schadcode zur Installation eines Keyloggers - der Schadcode kann zahlreiche Zwecke haben. Und in der jüngeren Vergangenheit sind die Viren-Ersteller dazu übergegangen, mittels spezieller Rootkits, Malware besonders gut im System zu verstecken.

Ablauf eines Drive by Downloads

Im Januar 2013 haben Unbekannte die Internetseite der PC-Welt manipuliert und tausende Besucher per Drive-by-Download infiziert. Der schädliche Code befand sich 24 Stunden unbemerkt auf der Webseite. Nur 1 Monat später wurde die zentrale Internetseite der Sparkasse als Malware-Schleuder missbraucht. Auch hier kam ein Drive-by-Schädling zum Einsatz. Diese zwei Beispiele, man könnte die Liste endlos lange fortführen, zeigen, dass auch sichere und vertrauenswürdige Internetseiten Drive-by Viren verbreiten können.

Video - Drive-by-Download erklärt:

Drive by Download Video

Malvertisement oder Malvertising

Sehr beliebt bei Cyberkriminellen ist das sogenannte Malvertisement oder Malvertising. Hierbei handelt es sich um Werbung, die der Drive-by Verbreitung von Malware dient. Wird eine normale Internetseite kompromittiert, werden nur die Besucher dieser einen Internetseite infiziert. Kompromittiert der Cyberkriminelle jedoch einen Adserver (Werbenetzwerk) und präpariert die Anzeigen mit einem Drive-by-Download Code, erreicht er damit die Besucher aller Internetseiten, die die Werbung einbinden.

Bekannte Internetseiten wie arcor.de, ebay.de und t-online.de wurden bereits, über missbrauchte Werbenetzwerke, als Malware-Schleuder missbraucht.

Malvertising

Vor Malvertising-Angriffen kann man sich recht einfach schützen, mit der Firefox-, Chrome-Erweiterung Adblock Plus. Das Wort „Ad" ist die Kurzform von „Ad-vertisement" und bedeutet Werbung. Die Erweiterung Adblock Plus steht kostenlos zur Verfügung und blockiert Werbung (mögliche Malvertising-Angriffe) auf sämtlichen Internetseiten. Nach der Adblock -Installation und dem Neustart des Browsers wird der Computernutzer gebeten, eine Filterliste zu abonnieren. Die Filterliste enthält Textdateien mit Suchmustern, um Werbung auf Internetseiten zu identifizieren. Deutsche Nutzer sollten die Filterliste Easylist Germany (Deutschland) + EasyList abonnieren. Die Filterliste wird von den Entwicklern regelmäßig gepflegt.

Wie schütze ich mich vor Drive-by-Infektionen?

Aktive Inhalte mit NoScript deaktivieren (Firefox)

NoScriptFlash, Java Scripte und andere aktive Inhalte können dazu benutzt werden, Drive-by Attacken durchzuführen. Eine Lösung wäre, Flash, Java und andere aktive Inhalte im Browser zu deaktivieren, doch leider gibt es vertrauenswürdige Internetseiten, die diese Inhalte nutzen. Mit der Firefox-Erweiterung NoScript entscheidest du, auf Basis des Domainnamens, ob dein Browser aktive Inhalte ausführen darf. Bei jedem Besuch einer Internetseite prüft NoScript, ob aktive Inhalte benötigt werden. Standardmäßig werden alle aktiven Inhalte blockiert.

Bei blockierten Inhalten zeigt die Erweiterung eine Informationsleiste an, mit der Anzahl der blockierten Flash-, JavaScript Codes etc.

NoScript verbotene Inhalte

Per Klick auf den Einstellungsbutton öffnet sich ein Kontextmenü. Darüber lassen sich aktive Inhalte für die blockierte Seite aktivieren und weitere Einstellungen vornehmen.

NoScript Einstellungen

NoScript steht auf der Internetseite des Mozilla-Projekts zum kostenlosen Download bereit. Eine ausführliche Bedienungsanleitung findest du in unserem Virenschutz-Leitfaden: Aktive Inhalte (Scripte) mit NoScript steuern (Mozilla Firefox).

Video - NoScript im Einsatz:

Noscript Bedienung

Wichtige NoScript-Einstellungen:

Das Einstellungs-Menü (Kontextmenü > Einstellungen...) öffnet sich in einem neuen Fenster und ist in mehreren Tabs unterteilt. Unter anderem ist auch ein Tab mit der Bezeichnung Positivliste vorhanden. Dort sind Domainnamen gespeichert, denen es erlaubt ist, aktive Inhalte auszuführen. Mit wenigen Mausklicks können weitere Domainnamen hinzugefügt oder entfernt werden. Einige Internetseiten wie beispielsweise Google und YouTube sind standardmäßig freigeschaltet. Unbekannten Domainnamen, die du nicht kennst oder nutzt, solltest du unbedingt markieren und per Klick auf den Button Ausgewählte Websites entfernen löschen.

Im Tab Aussehen und Benachrichtigungen können die Menüeinträge im Kontextmenü eingestellt werden. Die Informationsleiste kann im Tab Benachrichtigungen angepasst werden. Auch lassen sich dort akustische Rückmeldungen einstellen.

Im Tab Erweitert kann festgelegt werden, wie sich NoScript bei Angriffen, vertrauenswürdigen Internetseiten und nicht vertrauenswürdigen Internetseiten verhalten soll. Recht schnell stößt man hier auf den Menüpunkt Cross-Site-Scripting-Angriffe (XSS). Bei einen Cross-Site-Scripting-Angriff wird versucht, eine Internetseite des Angreifers auf einer vertrauenswürdigen Internetseite einzubinden. Ein Beispiel: Die Internetseite einer Bank besitzt eine Sicherheislücke. Der Angreifer platziert ein Formular auf der Internetseite und fordert die Besucher auf, ihre Kundennummer, PIN und TAN einzugeben.

Cross-Site-Scripting-Angriffe (XSS), bei denen Angreifer versuchen eine Sicherheitslücke auszunutzen, werden von NoScript blockiert. Die Erweiterung erkennt solche Codes (in den meisten Fällen) und bereinigt die entsprechende Internetseite.

Video: XSS, die ewige Gefahr:

XSS Video

Browser isoliert ausführen, mit Sandboxie

Mit dem kostenlosen Tool Sandboxie kann der Browser isoliert vom Betriebssystem ausgeführt werden. Alle Schreibzugriffe auf die Windows-Registrierungsdatenbank oder auf sonstige Dateien werden auf einen speziellen Ordner umgeleitet. Fängt man sich einen Schädling ein, kann dieser keinen Schaden anrichten, sondern wird in die Sandbox umgeleitet. Leert man die Sandbox, wird auch der Schädling entfernt. Für Privatnutzer ist Sandboxie kostenlos.

Video: Sandboxie - Programme im Sandkasten:

Sandboxie Video

Mehr Informationen über die Funktionsweise und Bedienung in unserer Virenschutz-Anleitung unter: Browser isoliert vom Betriebssystem ausführen.

Die Opfer und die Folgen von Drive-by-Downloads

Die Folgen von Drive-by-Downloads sind zum Beispiel die aktuell sehr beliebten Ransomware-Varianten (Erpressungs-Trojaner). Diese geben vor, im Auftrag der Bundespolizei, GEMA, GVU zu handeln und behaupten, dass auf dem Computer des Opfers urheberrechtlich geschütztes Material oder sogar illegale Pornographie gefunden und der Computer aus diesem Grund gesperrt wurde. Für die Freigabe des Computers soll - über anonyme Zahlungsmittel wie Bitcoin, Ukash oder Paysafecard - ein Betrag von 100 Euro und mehr gezahlt werden. Natürlich bleibt der PC - auch nach Zahlung des geforderten Betrags - gesperrt. Und dieses Geschäftsmodell funktioniert blendend: Nach einer Umfrage des Ransowmare-Portals Bundespolizei-Virus.de zahlen 16% der Geschädigten den geforderten Betrag, um wieder an ihre Daten zu kommen.