Drive-by-Downloads und wie Sie sich davor schützen

9. Oktober 2023 | Von ,
Aktive Funktionen wie Flash, Java, ActiveX - die eigentlich dem Komfort im Webbrowser dienen sollen - können auch für andere Dinge missbraucht werden, zum Beispiel für Drive-by-Infektionen. Besucht man beispielsweise eine Internetseite, die Java-Funktionen nutzt, kann über den Browser Programmcode auf das eigene System geladen und dort ausgeführt werden. Der Programmcode, möglicherweise ein Schadcode, hat nun die gleichen Rechte wie der aktuell unter Windows angemeldete Benutzer. Zugriffsrechte auf das gesamte Betriebssystem!

Ein informatives Video zum Thema „Drive-by-Downloads“ wurde auf dem YouTube-Kanal „The Morpheus Tutorials“ online gestellt.

Ablauf eines Drive by Downloads
Grafische Darstellung: Der Ablauf einer Drive-by-Infektion

Hunderte Internetseiten bereits Opfer von Drive-by-Schädlingen

In den letzten Jahren basierten viele Angriffe auf infizierte Links. Zum größten Teil kam hierbei die Drive-By-Download-Technik zum Einsatz.

Im Januar 2013 manipulierten Unbekannte die Internetseite der PC-Welt und infizierten tausende Besucher per Drive-by-Download. Der Schadcode befand sich 24 Stunden lang unbemerkt auf der Webseite. Nur 1 Monat später wurde die zentrale Internetseite der Sparkasse als Malware-Schleuder missbraucht. Auch hier kam ein Drive-by-Schädling zum Einsatz. Diese beiden Beispiele - die Liste ließe sich beliebig fortsetzen - zeigen, dass auch sichere und vertrauenswürdige Internetseiten Drive-by-Viren verbreiten können..

Die Folge von Drive-by-Downloads sind zum Beispiel die derzeit sehr beliebten Erpressungstrojaner. Diese geben vor, im Auftrag der Bundespolizei, der GEMA oder der GVU zu handeln und behaupten, dass auf dem Computer des Opfers urheberrechtlich geschütztes Material oder gar illegale Pornografie gefunden wurde und der Computer deshalb gesperrt sei. Für die Entsperrung des Rechners soll ein Betrag von 100 Euro und mehr über anonyme Zahlungsmittel wie Bitcoin oder Paysafecard bezahlt werden. Oft bleibt der PC auch nach Zahlung des geforderten Betrages gesperrt. Und dieses Geschäftsmodell funktioniert blendend: Knapp 8 Prozent der Geschädigten zahlen den geforderten Betrag, um wieder an ihre Daten zu kommen.

Drive-by-Infektionen per Malvertising

Sehr beliebt bei Cyberkriminellen ist das sogenannte Malvertisement oder Malvertising. Dabei handelt es sich um Werbung, die zur Drive-by-Verbreitung von Malware genutzt wird. Wird eine normale Webseite kompromittiert, werden nur die Besucher dieser Webseite infiziert. Kompromittiert der Cyberkriminelle jedoch einen Adserver (Werbenetzwerk) und präpariert die Werbung mit einem Drive-by-Download-Code, erreicht er damit die Besucher aller Internetseiten, die die Werbung einbinden.

Bekannte Internetseiten wie arcor.de, ebay.de und t-online.de wurden bereits über missbrauchte Werbenetzwerke als Malware-Schleudern missbraucht.

Mit der Firefox- und Chrome-Erweiterung Adblock Plus kann man sich ganz einfach vor Malvertising-Attacken schützen. Das Wort „Ad" ist die Kurzform von „Ad-vertisement" und bedeutet Werbung. Die Erweiterung Adblock Plus ist kostenlos und blockiert Werbung (mögliche Malvertising-Attacken) auf allen Internetseiten. Nach der Installation von Adblock und dem Neustart des Browsers wird der Benutzer aufgefordert, eine Filterliste zu abonnieren. Die Filterliste enthält Textdateien mit Suchmustern zur Identifizierung von Werbung auf Internetseiten. Deutsche Nutzer sollten die Filterliste Easylist Deutschland + EasyList abonnieren. Die Filterliste wird regelmäßig von den Entwicklern aktualisiert.

So schützen Sie Ihren Computer

Auch wenn Sie sich vielleicht denken, dass es niemand auf Sie abgesehen haben kann, es mussten sich schon viele, die genauso gedacht haben, eines Besseren belehren lassen. Das sollten Sie gerade dann bedenken, wenn Sie vielleicht vorhaben, Online-Banking zu nutzen. Die Warnhinweise, so klein und unscheinbar sie auch auf den Internetseiten der Banken erscheinen mögen, sind nicht ohne Grund dort!

Wenn Sie versuchen, die folgenden Schutzmaßnahmen so weit wie möglich zu befolgen, haben Sie bereits viel für Ihre persönliche Sicherheit im Internet getan. Es gibt eine Vielzahl von Schutzmaßnahmen, die gegen eine Vielzahl von Bedrohungen schützen. Natürlich haben alle Schutzmaßnahmen ihre Grenzen. Den perfekten Schutz gibt es nicht, ein Restrisiko bleibt immer!
  1. Aktualisieren Sie alle Computerprogramme regelmäßig. Ein Computerprogramm ist nur so sicher, wie es aktuell ist. Programme, die Sie nicht benötigen, sollten Sie deinstallieren. Insbesondere Ihren Browser sollten Sie regelmäßig aktualisieren. Die meisten Browser können so eingestellt werden, dass sie beim Start automatisch nach Updates suchen.

    Firefox automatisch aktualisieren
    Firefox-Einstellungen: Updates automatisch installieren
  2. Je mehr Rechte ein Benutzerkonto hat, desto mehr Schaden kann ein Schädling anrichten. Verwenden Sie zum Surfen im Internet das Konto mit den kleinstmöglichen Benutzerrechten. Unter Windows bietet das sogenannte Gastkonto die kleinstmöglichen Benutzerrechte.
  3. Wer im Internet surft, sollte sich einen guten Virenscanner zulegen (z. B. Bitdefender Internet Security). Ein kostenloser Virenscanner reicht in der Regel aus. Virenscanner haben die Aufgabe, Ihre Datenträger auf Viren zu überprüfen und diese gegebenenfalls sicher zu entfernen. In erster Linie sollen Virenscanner aber dafür sorgen, dass Viren und Trojaner gar nicht erst auf Ihren PC gelangen. Ein Virenscanner allein reicht dafür aber nicht aus! Deshalb sollte Ihr Virenschutzkonzept nicht nur aus der Installation eines Virenschutz-Programms bestehen.
  4. Verwenden Sie Browser-Erweiterungen wie "NoScript", um aktive Inhalte (Java/ActiveX, Javascript) zu blockieren.
    Lesen Sie weiter unten: Aktive Inhalte mit NoScript blockieren ↓
  5. Starten Sie Ihren Browser in einer Sandbox. SandBox-Programme (zum Beispiel Sandboxie ↓) funktionieren genau nach dem Prinzip, wie Apple seine Rechnerstruktur aufgebaut hat: Programme laufen nur in einer abgeschotteten Umgebung, die vom Betriebssystem getrennt ist. Schadprogramme können also zumindest theoretisch das Betriebssystem des Computers nicht erreichen, es sei denn, sie überwinden die SandBox. Und darauf sind die meisten Schadprogramme nicht vorbereitet.
    Lesen Sie weiter unten: Den Browser in einer Sandbox starten, mit Sandboxie ↓
  6. Öffnen Sie niemals automatisch einen E-Mail-Anhang, nur weil Sie den Absender kennen. Misstrauen ist der beste Schutz vor Viren. Wenn Ihr Virenscanner keinen Virus findet, überprüfen Sie den Anhang vor dem Öffnen auf Virustotal.com - so sind Sie auf der sicheren Seite.
  7. Schalten Sie eine Firewall ein, wenn Sie mehr Sicherheit wünschen. Schadprogramme und Hacker gelangen meist über ein Netzwerk auf den Computer und können so Informationen stehlen oder anderen Schaden anrichten. Eine Firewall bildet eine Schutzwall dagegen, ohne die Nutzung des Betriebssystems zu beeinträchtigen. Ihr Virenscanner hat keine Firewall? Dann aktivieren Sie die Windows-Firewall: Gehen Sie dazu über den Start-Button in die Systemsteuerung. Tippen Sie in der Suchmaske (oben rechts) Firewall ein. Klicken Sie anschließend auf Windows Defender Firewall. Nun können Sie die Firewall aktivieren.
  8. Schützen Sie sich vor Phishing. Das Wort Phishing setzt sich aus den englischen Wörtern password und fishing zusammen. Phishing ist ein gezielter Angriff auf den Computerbenutzer, bei dem der Computer in keiner Weise manipuliert wird. Vielmehr ist Phishing eine Art Trickbetrug, bei dem ein Angreifer durch gefälschte Nachrichten oder Webseiten versucht, den Computerbenutzer zur Eingabe von vertraulichen Daten (Passwörter, Zahlungsdaten) zu verleiten. Gelangen z. B. Kreditkartendaten in den Besitz des Angreifers, kann ein großer finanzieller Schaden entstehen.

    Lesen Sie auch: Was ist Phishing und wie kann ich mich schützen?
  9. Erstellen Sie regelmäßig Backups! Auch Backups sind eine wichtige Virenschutzmaßnahme. Sollte es trotz aller Sicherheitstipps zu einer Malware-Infektion kommen, kann es notwendig sein, das gesamte System wiederherzustellen. Ein Antivirenprogramm kann nach einer Infektion zwar die Malware entfernen, aber nicht alle Änderungen des Schädlings rückgängig machen.

Werden aktive Funktionen wie Flash, Java, ActiveX benötigt?

Aktive Funktionen wie Flash, Java und ActiveX waren früher weit verbreitet, um interaktive und multimediale Inhalte auf Webseiten darzustellen. Heutzutage werden sie jedoch immer weniger benötigt, zumal moderne Webtechnologien wie HTML5, CSS3 und JavaScript ähnliche Funktionalitäten bieten können, aber in der Regel sicherer und effizienter sind.

Angesichts der verfügbaren alternativen Technologien und der potenziellen Sicherheitsrisiken ist es meist ratsam, auf den Einsatz von Flash, Java und ActiveX zu verzichten, es sei denn, es gibt einen spezifischen, unvermeidbaren Grund für deren Nutzung.

Beispiele für Alternativen:
  • Video und Audio: Anstelle von Flash können auch die HTML5-Tags < video > oder < audio > verwendet werden.
  • Interaktive Elemente: JavaScript-Frameworks wie Angular, React oder Vue bieten umfangreiche Möglichkeiten zur Erstellung interaktiver Webseiten.
  • Datenaustausch: Statt Java-Applets können moderne API-Schnittstellen und AJAX genutzt werden.

Aktive Inhalte mit NoScript blockieren

Inwiefern Sie Browser-Funktionen bei Ihrem Browser aktivieren oder deaktivieren, ist Ihnen überlassen. Bitte beachten Sie, dass bei einer Deaktivierung einige Webseiten möglicherweise nicht richtig oder gar nicht angezeigt werden. Überlegen Sie sich dann, ob Sie diese Seite nicht lieber gar nicht erst besuchen, wenn eine andere Möglichkeit ohne Java/ActiveX, Javascript angeboten wird.

NoScript LogoNoScript ist eine Browser-Erweiterung für Google Chrome, Microsoft Edge und Mozilla Firefox, mit der Sie Aktive Inhalte nur auf vertrauenswürdigen Webseiten aktivieren können. Die Erweiterung kann bequem über diese Download-Seiten im Browser installiert werden: Nutzt eine Internetseite JavaScript oder Java/ActiveX, wird im unteren Browser-Rand eine NoScript-Meldung NoScript Icon angezeigt.

NoScript Meldung
NoScript Meldung

Wenn Sie auf den Button Einstellungen klicken, werden alle Domains angezeigt, die auf dieser Internetseite aktive Inhalte anzeigen möchten. Sie können nun für jede Domain einzeln festlegen, ob diese die Erlaubnis erhalten soll, aktive Inhalte auf Ihrem Computer auszuführen. Häufig werden mehrere Domains angezeigt, z. B. wenn externe Werbung oder andere externe Skripte eingeblendet werden.

Mögliche NoScript-Optionen:
  • NoScript erlaubnis erlauben
    Die Einstellung bleibt dauerhaft erhalten, kann aber jederzeit über die Option Verbieten rückgängig gemacht werden. Wenn Sie eine vertrauenswürdige Webseite besuchen, z.B. die Webseite Ihrer Bank, können Sie die aktiven Inhalte für diese Domain dauerhaft zulassen.
  • NoScript erlaubnis temporär erlauben
    Die Einstellung gilt bis zum nächsten Neustart des Browsers.
  • NoScript erlaubnis Scripte allgemein erlauben
    Wenn Sie diese Option aktivieren, wird der NoScript-Schutz vollständig deaktiviert. Alle Webseiten erhalten die Erlaubnis, aktive Inhalte auf Ihrem Computer auszuführen.
Außerdem können Sie über die Optionen NoScript erlaubnis Alle Beschränkungen für diese Seite aufheben und NoScript erlaubnis Temporär alle Beschränkungen für diese Seite aufheben alle aktiven Inhalte (sämtlicher Domains) für eine Internetseite erlauben (dauerhaft oder temporär).

NoScript Einstellungen
NoScript Einstellungen

Zahlreiche Internetseiten verwenden aktive Inhalte, um wichtige Funktionen zu realisieren. Dadurch kann es vorkommen, dass sich eine Internetseite anders verhält als zuvor. Aktivieren Sie die aktiven Inhalte Schritt für Schritt.

Wichtig: Auch bei vermeintlich vertrauenswürdigen Webseiten sollte man die NoScript-Einstellungen so restriktiv wie möglich konfigurieren und möglichst wenige Ausnahmen machen. Vertrauenswürdige Webseiten können jederzeit gehackt werden und Schadcode per Drive-by-Download verbreiten.

Den Browser in einer Sandbox starten, mit Sandboxie

Sandboxie (https://www.sandboxie.com/) ist ein kostenloses Tool, mit dem Anwendungen in einem isolierten Raum gestartet werden können. Dadurch können mögliche Veränderungen des Betriebssystems durch Schadcode verhindert werden. Startet man beispielsweise einen Browser in Sandboxie, werden alle Schreibzugriffe auf die Festplatte in einen Sandboxie-Ordner umgeleitet.

Das eigentliche Computersystem wird dabei nicht verändert. Leert man die Sandbox (manuell oder automatisch möglich), werden alle Änderungen verworfen. Fängt man sich z. B. einen Schadcode ein, kann sich dieser nicht tief in das Betriebssystem einnisten. Stattdessen wird der Schadcode in die Sandbox umgeleitet und beim Leeren der Sandbox automatisch gelöscht. Der Schadcode kann nicht aus der Sandbox ausbrechen und das eigentliche Windows-System infizieren. Ein weiterer Vorteil: Browserverlauf, Cookies und temporäre Dateien werden nur in der Sandbox und nicht auf dem Windows-System zwischengespeichert.

Video: Sandboxie-Anwendung im Video

Nach der Installation von Sandboxie kann jede beliebige Anwendung aus der Sandbox heraus gestartet werden. Einfach mit der rechten Maustaste auf eine beliebige Programmverknüpfung klicken -> In der Sandbox starten.

Sandboxie starten

Alle Programme, die in der Sandbox gestartet wurden, haben einen gelben Rahmen. Wenn Sie mit der Maus über das Programmfenster fahren.

Browser in Sandboxie
Der Firefox-Browser in einer Sandbox von Sandboxie

Hinweis: Auch der Windows-Explorer kann in einer Sandbox gestartet werden. Legt man im Sandboxie-Explorer einen neuen Ordner an, so wird dieser nur im Sandboxie-Explorer angelegt, nicht im normalen Explorer! Wenn man also die Sandbox löscht, wird auch der Ordner gelöscht.