Drive-by-Downloads – Erklärung und Schutz

Eine große Bedrohung im Internet sind Drive-by-Infektionen. Bei dieser Art von Infektionen werden Internetseiten kompromittiert und so manipuliert, dass sie bösartige Schädlinge verbreiten.

Drive-by-Downloads – Erklärung und Schutz

Die klassische Drive-by-Infizierung erfolgt in wenigen Schritten und ohne Zutun des Computernutzers. Zuerst wird der Schadcode per aktive Inhalte (z. B. Flash, Java, Java Script) in den Quellcode einer Internetseite eingebunden. Sobald ein ahnungsloser Benutzer die Internetseite aufruft, prüft der manipulierte Code das Computersystem des Besuchers auf Sicherheitslücken. Wird er fündig, infiziert er das System und lädt weiteren Schadcode nach. Schadcode zur Integration des Computers in ein Botnet, Schadcode zum Ausspähen von Passwörtern, Schadcode zur Installation eines Keyloggers – der Schadcode kann zahlreiche Zwecke haben.

In der jüngeren Vergangenheit sind die Malware-Entwickler dazu übergegangen, mittels spezieller Rootkits, Malware besonders gut im System zu verstecken.

Drive-by-Download Funktionsweise
Wie ein typischer Drive-by-Download funktioniert.

Was genau sind Aktive Inhalte?

Aktive Inhalte sind kleine Programme, die auf dem Rechner des Nutzers ausgeführt werden und dank der Standardeinstellungen des Internet Explorers oftmals uneingeschränkten Zugriff auf die Betriebsmittel des Rechners haben. Besonders in Unternehmen stellt dies eine große Gefahr dar, da hier oftmals besonders sensible Daten in Gefahr sind.

Aktive Inhalte erfüllen oftmals den Zweck, dem Nutzer die Navigation einer Webseite zu vereinfachen, bessere Animationen und Grafik zu ermöglichen oder um dem Nutzer bei seinen Aktivitäten im Netz behilflich zu sein, beispielsweise durch einen Einkaufsratgeber. Oftmals werden auch komplette Webseiten mit Hilfe von aktiven Inhalten erstellt. Die Nutzung dieser Seiten zwingt den Benutzer oft unnötig, sich Sicherheitsrisiken auszusetzen und lassen oftmals bewusst Nutzer, die sich diesen Risiken nicht aussetzen wollen, außen vor.

Drive-by-Infektionen per Malvertising

In den vergangenen Jahren sind zahlreiche seriöse Webseiten Drive-by-Angriffen zum Opfer gefallen. Darunter Webseiten wie Arcor, Hasbro, Huffington Post, PC-Welt, The New York Times, NBC, Amnesty International und sogar die Internetseite der Sparkasse.

Meist wurden die Drive-by-Attacken per Malvertising ausgeführt. Unter Malvertising versteht man Angriffe, bei denen die Angreifer bösartigen Code in seriöse Online-Werbenetzwerke einschleusen. Die infizierten Werbeanzeigen sind schwer zu erkennen und werden den Verbrauchern auf seriösen Internetseiten wie eben Arcor, PC-Welt und Co angezeigt.

Malvertising über Werbenetzwerke
Das Kapern eines Werbenetzwerks kann zu einer flächendeckenden Verbreitung des bösartigen Codes führen.

Wie schütze ich mich vor Drive-by-Infektionen?

Ähnlich wie Sie Ihr Haus oder Ihre Wohnung mit wenigen gezielten Maßnahmen vor Einbrechen schützen, können Sie auch bei Ihrem Computer einen Grundschutz mit wenigen Handgriffen realisieren.

  • Spielen Sie regelmäßig Sicherheitsupdates ein. Das gilt für alle Programme, auch für Browser-Erweiterungen (sogenannte Plugins). Welche Folgen hier Nachlässigkeit auslösen kann, bekamen im März 2017 dutzende Unternehmen wie Telefónica und die Deutsche Bahn zu spüren: Ihre Systeme wurden von dem Schadprogramm „WannaCry“ befallen, das eine Sicherheitslücke von Windows ausnutzte. Hätten die Betroffenen die Sicherheitsupdates eingespielt, die Microsoft eine Woche zuvor veröffentlichte, wäre ihnen viel Zeit und Ärger erspart geblieben.
  • Sollte Ihr Browser tatsächlich einmal ein schädliches Programm ausführen, so läuft dieses Programm mit allen Rechten eines Administrators. Das heißt, dass es zum Beispiel Ihr Betriebssystem manipulieren kann. Sicherer ist es allemal, sich ein eingeschränktes Konto für die tägliche Arbeit anzulegen.
  • Installieren Sie ein Antivirus-Programm. Antivirus-Programme bieten einen guten Schutz gegen Drive-by-Infektionen. Allerdings können diese ihre Schutzwirkung nur dann entfalten, wenn Sie das Antivirus-Programm regelmäßig auf dem aktuellsten Stand halten. Denn: Ähnlich einer Grippeschutzimpfung im realen Leben bedürfen Antivirus-Programme einer regelmäßigen Auffrischung, um auch die jüngsten Bedrohungen erkennen und bekämpfen zu können.
  • Meiden Sie dubiose Angebote im Internet. Sie sollten weder verdächtige Links in E-Mails öffnen, noch sollten Sie zwielichtige Webseiten besuchen. Häufig verbreiten Pornografie- und File-Sharing-Webseiten Schadprogramme per Drive-by-Attacke.
  • Vor Drive-by-Infektionen per Malvertising ↑ kann man sich recht zuverlässig schützen, mit dem Werbeblocker Adblock Plus (verfügbar für: Google Chrome, Mozilla Firefox und Microsoft Edge). Die Erweiterung dient nicht nur der Sicherheit, sondern beschleunigt auch den Lesefluss und das Browsen allgemein.
  • Aktive Inhalte wie zum Beispiel Java oder Java Script sind potenziell gefährlich. Trotzdem können Sie Scripting im Browser nicht einfach abschalten. Die meisten Websites benützen Skripte, ohne damit irgendetwas Böses zu bezwecken. Es gibt eine Reihe von Scriptblocker-Plugins für Browser. Sehr beliebt ist zum Beispiel das Plugin NoScript ↓. Installieren Sie diese Erweiterung (verfügbar für: Google Chrome, Mozilla Firefox und Microsoft Edge). Mit NoScript erlauben Sie nur vertrauenswürdigen Webseiten die Ausführung von aktiven Inhalten (Java, JavaScript, Flash). Eine sehr effektive Methode, um sich vor Drive-by-Downloads zu schützen.
  • Führen Sie Ihren Browser in einer Sandbox aus. Mit dem kostenlosen Sandbox-Tool Sandboxie kann der Browser isoliert vom Betriebssystem ausgeführt werden. Alle Schreibzugriffe auf die Windows-Registrierungsdatenbank oder auf sonstige Dateien werden auf einen speziellen Ordner umgeleitet. Fängt man sich einen Schädling ein, kann dieser keinen Schaden anrichten, sondern wird in die Sandbox umgeleitet. Leert man die Sandbox, wird auch der Schädling entfernt. Für Privatnutzer ist Sandboxie kostenlos. Mehr Informationen über die Funktionsweise und Bedienung in unserem Virenschutz-Leitfaden unter: Browser isoliert vom Betriebssystem ausführen.
  • Sichern Sie Ihre Daten regelmäßig (etwa auf DVD oder externen Festplatten), um diese im Falle eines Falles schnell wieder herstellen zu können. Bedenken Sie dabei, dass Datenverluste nicht nur durch Viren und andere Schädlinge drohen: Auch ein Festplattendefekt kann ihre Daten unwiderruflich zerstören.
  • Drive-by-Downloads sind nicht nur für den Computer eine Gefahr. Auch Smartphones und Tablets können sich per Drive-by infizieren. Zwar gibt es einige Faktoren, die diese Geräte deutlich sicherer machen, dennoch sollten Sie ein paar Dinge beachten:
    • Laden Sie nur vertrauenswürdige Apps aus dem Play Store oder dem App Store herunter.
    • Halten Sie immer alle Apps auf dem neuesten Stand.
    • Sie sollten Ihr Gerät niemals „jailbreaken“ oder „rooten“. Es sei denn, Sie sind ein sehr erfahrener Benutzer, der sich der zusätzlichen Sicherheitsgefahren und Herausforderungen bewusst ist.

Wer diese grundlegenden Sicherheitsmaßnahmen berücksichtigt, leistet bereits einen entscheidenden Beitrag, um sich vor Drive-by-Downloads zu schützen. Je nach individueller Nutzung des Computers etwa für das Online-Banking oder die Einkaufstour im virtuellen Shoppingcenter sind zusätzliche Schutzvorkehrungen empfehlenswert, um Ihre Online-Sicherheit weiter zu verbessern. Wie diese Maßnahmen im Detail aussehen und welche anderen Möglichkeiten es gibt, um besser vor den potenziellen Gefahren Dateien Internet geschützt zu sein, darüber informieren wir in unserem Leitfaden zur Basis-Absicherung eines Computers.

Aktive Inhalte mit NoScript blockieren

NoScript

Flash, Java Scripte und andere aktive Inhalte können dazu benutzt werden, Drive-by Attacken durchzuführen. Eine Lösung wäre, Flash, Java und andere aktive Inhalte im Browser zu deaktivieren, doch leider gibt es vertrauenswürdige Internetseiten, die diese Inhalte nutzen. Mit der Browser-Erweiterung NoScript (verfügbar für: Google ChromeMozilla FirefoxMicrosoft Edge) entscheiden Sie auf Basis des Domainnamens, ob Ihr Browser aktive Inhalte ausführen darf. Bei jedem Besuch einer Internetseite prüft NoScript, ob aktive Inhalte benötigt werden. Standardmäßig werden alle aktiven Inhalte blockiert.

Bei blockierten Inhalten zeigt die Erweiterung die Anzahl der blockierten Inhalte an.

Die Anzahl der blockierten Scripte

Per Klick auf das NoScript-Icon öffnet sich ein Kontextmenü. Darüber lassen sich aktive Inhalte für die blockierte Seite aktivieren.

NoScript verbotene Inhalte

Wichtig: Das Einstellungs-Menü von NoScript ist in mehreren Tabs unterteilt. Unter anderem ist auch ein Tab mit der Bezeichnung „Berechtigungen pro Webseite vorhanden“. Dort sind Domainnamen gespeichert, denen es erlaubt ist, aktive Inhalte auszuführen. Mit wenigen Mausklicks können weitere Domainnamen hinzugefügt werden. Einige Internetseiten wie beispielsweise Google und YouTube sind standardmäßig freigeschaltet. Bei unbekannten Domainnamen, die Sie nicht kennen oder nutzen, sollten Sie die Voreinstellungsoption unbedingt auf „Standard“ ändern.

NoScript: Berechtigungen pro Webseite
Felix Bauer
Felix Bauer
Felix Bauer ist IT-Security Consultant (IT-Sicherheitsberater) mit 20 Jahren Erfahrung in der IT-Sicherheitsbranche. Felix Bauer begann im Alter von 14 Jahren mit der Analyse von Malwaresamples.

Zusätzlich zur Tätigkeit als Sicherheitsberater schreibt Felix Bauer häufig Fachbeiträge zu den Themen IT-Sicherheit und Internet-Technik. Seine Themenschwerpunkte: Antivirus, Sicherheitslücken und Malware. Unter anderem schrieb Felix Bauer bereits Fachbeiträge für die IT-Fachzeitschriften Computerwelt, Heise und IT-Administrator. Felix Bauer wurde in zahlreichen Fach- und News-Beiträgen erwähnt (u. a. in der Wiener Zeitung und in der Computerworld). Einige Referenzen finden Sie auf Felix Bauers Internetseite.

Felix Bauer besitzt den Abschluss Master of Science in Security and Forensic Computing.

Felix Bauer ist Mitbegründer der Initiative bleib-Virenfrei.