Drive-by-Downloads und wie Sie sich davor schützen
9. Oktober 2023 | Von
Zusätzlich zur Tätigkeit als Sicherheitsberater schreibt Felix Bauer häufig Fachbeiträge zu den Themen IT-Sicherheit und Internet-Technik. Seine Themenschwerpunkte: Antivirus, Sicherheitslücken und Malware. Unter anderem schrieb Felix Bauer bereits Fachbeiträge für die IT-Fachzeitschriften Computerwelt, Heise und IT-Administrator. Felix Bauer wurde in zahlreichen Fach- und News-Beiträgen erwähnt (u. a. in der Wiener Zeitung und in der Computerworld). Einige Referenzen finden Sie auf Felix Bauers Internetseite.
Felix Bauer besitzt den Abschluss Master of Science in Security and Forensic Computing.
Felix Bauer ist Mitbegründer der Initiative bleib-Virenfrei. Alle Beiträge von Felix Bauer ansehen →
,
Nebenbei schreibt René Hifinger gerne über IT-Sicherheitsthemen. In den letzten Jahren veröffentlichte er zahlreiche Fachartikel in Online- sowie Printmedien - u. a. für die Fachmagazine Informatik Aktuell, Computerwelt und DIGITALE WELT. Einen kleinen Auszug seiner Referenzen finden Sie hier.
René Hifinger ist Mitbegründer der Initiative bleib-Virenfrei. Alle Beiträge von René Hifinger ansehen →
Felix Bauer
Felix Bauer ist IT-Security Consultant (IT-Sicherheitsberater) mit 20 Jahren Erfahrung in der IT-Sicherheitsbranche. Felix Bauer begann im Alter von 14 Jahren mit der Analyse von Malwaresamples.Zusätzlich zur Tätigkeit als Sicherheitsberater schreibt Felix Bauer häufig Fachbeiträge zu den Themen IT-Sicherheit und Internet-Technik. Seine Themenschwerpunkte: Antivirus, Sicherheitslücken und Malware. Unter anderem schrieb Felix Bauer bereits Fachbeiträge für die IT-Fachzeitschriften Computerwelt, Heise und IT-Administrator. Felix Bauer wurde in zahlreichen Fach- und News-Beiträgen erwähnt (u. a. in der Wiener Zeitung und in der Computerworld). Einige Referenzen finden Sie auf Felix Bauers Internetseite.
Felix Bauer besitzt den Abschluss Master of Science in Security and Forensic Computing.
Felix Bauer ist Mitbegründer der Initiative bleib-Virenfrei. Alle Beiträge von Felix Bauer ansehen →
René Hifinger
René Hifinger verfügt über umfassende Erfahrungen in den Bereichen IT-Sicherheit und Softwareentwicklung. Seit 15 Jahren berät er Firmen weltweit als IT-Sicherheitsexperte.Nebenbei schreibt René Hifinger gerne über IT-Sicherheitsthemen. In den letzten Jahren veröffentlichte er zahlreiche Fachartikel in Online- sowie Printmedien - u. a. für die Fachmagazine Informatik Aktuell, Computerwelt und DIGITALE WELT. Einen kleinen Auszug seiner Referenzen finden Sie hier.
René Hifinger ist Mitbegründer der Initiative bleib-Virenfrei. Alle Beiträge von René Hifinger ansehen →
Aktive Funktionen wie Flash, Java, ActiveX - die eigentlich dem Komfort im Webbrowser dienen sollen - können auch für andere Dinge missbraucht werden, zum Beispiel für Drive-by-Infektionen. Besucht man beispielsweise eine Internetseite, die Java-Funktionen nutzt, kann über den Browser Programmcode auf das eigene System geladen und dort ausgeführt werden. Der Programmcode, möglicherweise ein Schadcode, hat nun die gleichen Rechte wie der aktuell unter Windows angemeldete Benutzer. Zugriffsrechte auf das gesamte Betriebssystem!
Ein informatives Video zum Thema „Drive-by-Downloads“ wurde auf dem YouTube-Kanal „The Morpheus Tutorials“ online gestellt.
Ein informatives Video zum Thema „Drive-by-Downloads“ wurde auf dem YouTube-Kanal „The Morpheus Tutorials“ online gestellt.
Grafische Darstellung: Der Ablauf einer Drive-by-Infektion
Hunderte Internetseiten bereits Opfer von Drive-by-Schädlingen
In den letzten Jahren basierten viele Angriffe auf infizierte Links. Zum größten Teil kam hierbei die Drive-By-Download-Technik zum Einsatz.Im Januar 2013 manipulierten Unbekannte die Internetseite der PC-Welt und infizierten tausende Besucher per Drive-by-Download. Der Schadcode befand sich 24 Stunden lang unbemerkt auf der Webseite. Nur 1 Monat später wurde die zentrale Internetseite der Sparkasse als Malware-Schleuder missbraucht. Auch hier kam ein Drive-by-Schädling zum Einsatz. Diese beiden Beispiele - die Liste ließe sich beliebig fortsetzen - zeigen, dass auch sichere und vertrauenswürdige Internetseiten Drive-by-Viren verbreiten können..
Die Folge von Drive-by-Downloads sind zum Beispiel die derzeit sehr beliebten Erpressungstrojaner. Diese geben vor, im Auftrag der Bundespolizei, der GEMA oder der GVU zu handeln und behaupten, dass auf dem Computer des Opfers urheberrechtlich geschütztes Material oder gar illegale Pornografie gefunden wurde und der Computer deshalb gesperrt sei. Für die Entsperrung des Rechners soll ein Betrag von 100 Euro und mehr über anonyme Zahlungsmittel wie Bitcoin oder Paysafecard bezahlt werden. Oft bleibt der PC auch nach Zahlung des geforderten Betrages gesperrt. Und dieses Geschäftsmodell funktioniert blendend: Knapp 8 Prozent der Geschädigten zahlen den geforderten Betrag, um wieder an ihre Daten zu kommen.
Drive-by-Infektionen per Malvertising
Sehr beliebt bei Cyberkriminellen ist das sogenannte Malvertisement oder Malvertising. Dabei handelt es sich um Werbung, die zur Drive-by-Verbreitung von Malware genutzt wird. Wird eine normale Webseite kompromittiert, werden nur die Besucher dieser Webseite infiziert. Kompromittiert der Cyberkriminelle jedoch einen Adserver (Werbenetzwerk) und präpariert die Werbung mit einem Drive-by-Download-Code, erreicht er damit die Besucher aller Internetseiten, die die Werbung einbinden.Bekannte Internetseiten wie arcor.de, ebay.de und t-online.de wurden bereits über missbrauchte Werbenetzwerke als Malware-Schleudern missbraucht.
Mit der Firefox- und Chrome-Erweiterung Adblock Plus kann man sich ganz einfach vor Malvertising-Attacken schützen. Das Wort „Ad" ist die Kurzform von „Ad-vertisement" und bedeutet Werbung. Die Erweiterung Adblock Plus ist kostenlos und blockiert Werbung (mögliche Malvertising-Attacken) auf allen Internetseiten. Nach der Installation von Adblock und dem Neustart des Browsers wird der Benutzer aufgefordert, eine Filterliste zu abonnieren. Die Filterliste enthält Textdateien mit Suchmustern zur Identifizierung von Werbung auf Internetseiten. Deutsche Nutzer sollten die Filterliste Easylist Deutschland + EasyList abonnieren. Die Filterliste wird regelmäßig von den Entwicklern aktualisiert.
So schützen Sie Ihren Computer
Auch wenn Sie sich vielleicht denken, dass es niemand auf Sie abgesehen haben kann, es mussten sich schon viele, die genauso gedacht haben, eines Besseren belehren lassen. Das sollten Sie gerade dann bedenken, wenn Sie vielleicht vorhaben, Online-Banking zu nutzen. Die Warnhinweise, so klein und unscheinbar sie auch auf den Internetseiten der Banken erscheinen mögen, sind nicht ohne Grund dort!Wenn Sie versuchen, die folgenden Schutzmaßnahmen so weit wie möglich zu befolgen, haben Sie bereits viel für Ihre persönliche Sicherheit im Internet getan. Es gibt eine Vielzahl von Schutzmaßnahmen, die gegen eine Vielzahl von Bedrohungen schützen. Natürlich haben alle Schutzmaßnahmen ihre Grenzen. Den perfekten Schutz gibt es nicht, ein Restrisiko bleibt immer!
- Aktualisieren Sie alle Computerprogramme regelmäßig. Ein Computerprogramm ist nur so sicher, wie es aktuell ist. Programme, die Sie nicht benötigen, sollten Sie deinstallieren. Insbesondere Ihren Browser sollten Sie regelmäßig aktualisieren. Die meisten Browser können so eingestellt werden, dass sie beim Start automatisch nach Updates suchen.
- Je mehr Rechte ein Benutzerkonto hat, desto mehr Schaden kann ein Schädling anrichten. Verwenden Sie zum Surfen im Internet das Konto mit den kleinstmöglichen Benutzerrechten. Unter Windows bietet das sogenannte Gastkonto die kleinstmöglichen Benutzerrechte.
- Wer im Internet surft, sollte sich einen guten Virenscanner zulegen (z. B. Bitdefender Internet Security). Ein kostenloser Virenscanner reicht in der Regel aus. Virenscanner haben die Aufgabe, Ihre Datenträger auf Viren zu überprüfen und diese gegebenenfalls sicher zu entfernen. In erster Linie sollen Virenscanner aber dafür sorgen, dass Viren und Trojaner gar nicht erst auf Ihren PC gelangen. Ein Virenscanner allein reicht dafür aber nicht aus! Deshalb sollte Ihr Virenschutzkonzept nicht nur aus der Installation eines Virenschutz-Programms bestehen.
- Verwenden Sie Browser-Erweiterungen wie "NoScript", um aktive Inhalte (Java/ActiveX, Javascript) zu blockieren.
Lesen Sie weiter unten: Aktive Inhalte mit NoScript blockieren ↓ - Starten Sie Ihren Browser in einer Sandbox. SandBox-Programme (zum Beispiel Sandboxie ↓) funktionieren genau nach dem Prinzip, wie Apple seine Rechnerstruktur aufgebaut hat: Programme laufen nur in einer abgeschotteten Umgebung, die vom Betriebssystem getrennt ist. Schadprogramme können also zumindest theoretisch das Betriebssystem des Computers nicht erreichen, es sei denn, sie überwinden die SandBox. Und darauf sind die meisten Schadprogramme nicht vorbereitet.
Lesen Sie weiter unten: Den Browser in einer Sandbox starten, mit Sandboxie ↓ - Öffnen Sie niemals automatisch einen E-Mail-Anhang, nur weil Sie den Absender kennen. Misstrauen ist der beste Schutz vor Viren. Wenn Ihr Virenscanner keinen Virus findet, überprüfen Sie den Anhang vor dem Öffnen auf Virustotal.com - so sind Sie auf der sicheren Seite.
- Schalten Sie eine Firewall ein, wenn Sie mehr Sicherheit wünschen. Schadprogramme und Hacker gelangen meist über ein Netzwerk auf den Computer und können so Informationen stehlen oder anderen Schaden anrichten. Eine Firewall bildet eine Schutzwall dagegen, ohne die Nutzung des Betriebssystems zu beeinträchtigen. Ihr Virenscanner hat keine Firewall? Dann aktivieren Sie die Windows-Firewall: Gehen Sie dazu über den
Start-Button
in dieSystemsteuerung
. Tippen Sie in der Suchmaske (oben rechts)Firewall
ein. Klicken Sie anschließend aufWindows Defender Firewall
. Nun können Sie die Firewall aktivieren. - Schützen Sie sich vor Phishing. Das Wort Phishing setzt sich aus den englischen Wörtern password und fishing zusammen. Phishing ist ein gezielter Angriff auf den Computerbenutzer, bei dem der Computer in keiner Weise manipuliert wird. Vielmehr ist Phishing eine Art Trickbetrug, bei dem ein Angreifer durch gefälschte Nachrichten oder Webseiten versucht, den Computerbenutzer zur Eingabe von vertraulichen Daten (Passwörter, Zahlungsdaten) zu verleiten. Gelangen z. B. Kreditkartendaten in den Besitz des Angreifers, kann ein großer finanzieller Schaden entstehen.
Lesen Sie auch: Was ist Phishing und wie kann ich mich schützen? - Erstellen Sie regelmäßig Backups! Auch Backups sind eine wichtige Virenschutzmaßnahme. Sollte es trotz aller Sicherheitstipps zu einer Malware-Infektion kommen, kann es notwendig sein, das gesamte System wiederherzustellen. Ein Antivirenprogramm kann nach einer Infektion zwar die Malware entfernen, aber nicht alle Änderungen des Schädlings rückgängig machen.
Werden aktive Funktionen wie Flash, Java, ActiveX benötigt?
Aktive Funktionen wie Flash, Java und ActiveX waren früher weit verbreitet, um interaktive und multimediale Inhalte auf Webseiten darzustellen. Heutzutage werden sie jedoch immer weniger benötigt, zumal moderne Webtechnologien wie HTML5, CSS3 und JavaScript ähnliche Funktionalitäten bieten können, aber in der Regel sicherer und effizienter sind.Angesichts der verfügbaren alternativen Technologien und der potenziellen Sicherheitsrisiken ist es meist ratsam, auf den Einsatz von Flash, Java und ActiveX zu verzichten, es sei denn, es gibt einen spezifischen, unvermeidbaren Grund für deren Nutzung.
Beispiele für Alternativen:
- Video und Audio: Anstelle von Flash können auch die HTML5-Tags < video > oder < audio > verwendet werden.
- Interaktive Elemente: JavaScript-Frameworks wie Angular, React oder Vue bieten umfangreiche Möglichkeiten zur Erstellung interaktiver Webseiten.
- Datenaustausch: Statt Java-Applets können moderne API-Schnittstellen und AJAX genutzt werden.
Aktive Inhalte mit NoScript blockieren
Inwiefern Sie Browser-Funktionen bei Ihrem Browser aktivieren oder deaktivieren, ist Ihnen überlassen. Bitte beachten Sie, dass bei einer Deaktivierung einige Webseiten möglicherweise nicht richtig oder gar nicht angezeigt werden. Überlegen Sie sich dann, ob Sie diese Seite nicht lieber gar nicht erst besuchen, wenn eine andere Möglichkeit ohne Java/ActiveX, Javascript angeboten wird.NoScript ist eine Browser-Erweiterung für Google Chrome, Microsoft Edge und Mozilla Firefox, mit der Sie Aktive Inhalte nur auf vertrauenswürdigen Webseiten aktivieren können. Die Erweiterung kann bequem über diese Download-Seiten im Browser installiert werden:
- NoScrip für Google Chrome (google.com)
- NoScrip für Microsoft Edge (microsoft.com)
- NoScrip für Mozilla Firefox (mozilla.org)
Wenn Sie auf den Button
Einstellungen
klicken, werden alle Domains angezeigt, die auf dieser Internetseite aktive Inhalte anzeigen möchten. Sie können nun für jede Domain einzeln festlegen, ob diese die Erlaubnis erhalten soll, aktive Inhalte auf Ihrem Computer auszuführen. Häufig werden mehrere Domains angezeigt, z. B. wenn externe Werbung oder andere externe Skripte eingeblendet werden.
Mögliche NoScript-Optionen:
- erlauben
Die Einstellung bleibt dauerhaft erhalten, kann aber jederzeit über die OptionVerbieten
rückgängig gemacht werden. Wenn Sie eine vertrauenswürdige Webseite besuchen, z.B. die Webseite Ihrer Bank, können Sie die aktiven Inhalte für diese Domain dauerhaft zulassen. - temporär erlauben
Die Einstellung gilt bis zum nächsten Neustart des Browsers. - Scripte allgemein erlauben
Wenn Sie diese Option aktivieren, wird der NoScript-Schutz vollständig deaktiviert. Alle Webseiten erhalten die Erlaubnis, aktive Inhalte auf Ihrem Computer auszuführen.
Alle Beschränkungen für diese Seite aufheben
und Temporär alle Beschränkungen für diese Seite aufheben
alle aktiven Inhalte (sämtlicher Domains) für eine Internetseite erlauben (dauerhaft oder temporär).
Zahlreiche Internetseiten verwenden aktive Inhalte, um wichtige Funktionen zu realisieren. Dadurch kann es vorkommen, dass sich eine Internetseite anders verhält als zuvor. Aktivieren Sie die aktiven Inhalte Schritt für Schritt.
Wichtig: Auch bei vermeintlich vertrauenswürdigen Webseiten sollte man die NoScript-Einstellungen so restriktiv wie möglich konfigurieren und möglichst wenige Ausnahmen machen. Vertrauenswürdige Webseiten können jederzeit gehackt werden und Schadcode per Drive-by-Download verbreiten.
Den Browser in einer Sandbox starten, mit Sandboxie
Sandboxie (https://www.sandboxie.com/) ist ein kostenloses Tool, mit dem Anwendungen in einem isolierten Raum gestartet werden können. Dadurch können mögliche Veränderungen des Betriebssystems durch Schadcode verhindert werden. Startet man beispielsweise einen Browser in Sandboxie, werden alle Schreibzugriffe auf die Festplatte in einen Sandboxie-Ordner umgeleitet.Das eigentliche Computersystem wird dabei nicht verändert. Leert man die Sandbox (manuell oder automatisch möglich), werden alle Änderungen verworfen. Fängt man sich z. B. einen Schadcode ein, kann sich dieser nicht tief in das Betriebssystem einnisten. Stattdessen wird der Schadcode in die Sandbox umgeleitet und beim Leeren der Sandbox automatisch gelöscht. Der Schadcode kann nicht aus der Sandbox ausbrechen und das eigentliche Windows-System infizieren. Ein weiterer Vorteil: Browserverlauf, Cookies und temporäre Dateien werden nur in der Sandbox und nicht auf dem Windows-System zwischengespeichert.
Video: Sandboxie-Anwendung im Video
Nach der Installation von Sandboxie kann jede beliebige Anwendung aus der Sandbox heraus gestartet werden. Einfach mit der rechten Maustaste auf eine beliebige Programmverknüpfung klicken ->
In der Sandbox starten
.
Alle Programme, die in der Sandbox gestartet wurden, haben einen gelben Rahmen. Wenn Sie mit der Maus über das Programmfenster fahren.
Hinweis: Auch der Windows-Explorer kann in einer Sandbox gestartet werden. Legt man im Sandboxie-Explorer einen neuen Ordner an, so wird dieser nur im Sandboxie-Explorer angelegt, nicht im normalen Explorer! Wenn man also die Sandbox löscht, wird auch der Ordner gelöscht.