Akute Gefahr im Netz: infizierte Webseiten

In den vergangenen Jahren ist das Internet zu einem immer gefährlicheren Ort geworden. War es ursprünglich nur für eine relativ geringe Anzahl von Nutzern ausgelegt, so ist es mittlerweile weit größer geworden, als es sich die Internetpioniere der ersten Stunde erträumt hätten. Heute nutzen mehr als 1,5 Milliarden Anwender das Netz. Zudem wird die Technologie immer erschwinglicher, die Zahl der Nutzer ist nach wie vor steigend.

Auch den Kriminellen ist diese Entwicklung nicht verborgen geblieben. Denn Internetkriminalität bringt im Vergleich zu herkömmlichen Verbrechen gewisse Vorteile mit sich. Zum einen ist das Risiko recht gering: Da es für Verbrechen im Web keine geopolitischen Grenzen gibt, fällt es den Strafverfolgungsbehörden nach wie vor sehr schwer, die Täter zu fassen. Außerdem sind die Kosten von grenzüberschreitenden Ermittlungen oft so hoch, dass sie sich nur bei wirklich großen Fällen lohnen. Zum anderen ist es relativ einfach, Verbrechen im Internet zu begehen: Im Netz sind reichlich Informationen zu den Themen Hacking und Virenschreiben zu finden, detaillierte Kenntnisse oder Fähigkeiten sind oft gar nicht erforderlich. Die Folge: Internetkriminalität hat sich in den vergangen Jahren zu einem Multimilliardengeschäft entwickelt.

Sowohl Sicherheitsfirmen als auch Software-Entwickler befinden sich in einem ständigen Kampf gegen Internetkriminalität. Ihr Ziel: Anwender zu schützen und sichere Software zu entwickeln. Daher ändern Cyberkriminelle ständig ihre Taktik, was sich in zwei Trends niederschlägt:

Erstens wird Schadsoftware entwickelt, die so genannte Zero-Day-Schwachstellen ausnutzt. Zero-Day-Schwachstellen sind Sicherheitslücken, für die noch kein Patch verfügbar ist. So können auch Computersysteme infiziert werden, die zwar auf dem neuesten Stand sind, auf denen aber keine entsprechende Sicherheitssoftware installiert ist. Aufgrund ihrer potentiellen Durchschlagskraft sind Zero-Day-Schwachstellen bei Cyberkriminellen sehr beliebt und werden auf dem Schwarzmarkt für Tausende US-Dollar verkauft. Zweitens gibt es immer mehr Schadsoftware, die vertrauliche Informationen stiehlt, um sie dann auf dem Schwarzmarkt zu verkaufen. Dazu gehören Kreditkartennummern, Bankkontodaten, Kennwörter für Webseiten wie eBay oder PayPal und sogar Passwörter für Online-Games wie World of Warcraft.

Internetkriminalität breitet sich immer weiter aus, weil sie überaus profitabel ist; und genau diese Lukrativität treibt die Entwicklung von neuen Technologien zur Ausführung von Cyberverbrechen immer weiter voran.

Neben den aktuellen Entwicklungen im Bereich Internetkriminalität ist der Vertrieb von Schadsoftware über das World Wide Web ein weiterer Trend. Der Grund: Um gefährliche E-Mail-Würmer wie beispielsweise Melissa Anfang dieses Jahrzehnts zu bekämpfen, setzten zahlreiche Antiviren-Hersteller in erster Linie darauf, schädliche Mail-Anhänge durch ihre Sicherheitslösungen blockieren zu lassen.

In den vergangenen Jahren hat sich deshalb das Internet zum wichtigsten Umschlagsplatz von Schadsoftware entwickelt. Schadprogramme werden auf Webseiten platziert; im Anschluss wird der Anwender entweder mit einem Social-Engineering-Trick dazu gebracht, diese Programme selbst zu starten oder die Schadsoftware wird mittels Exploit auf den Rechnern der Opfer automatisch ausgeführt.

Statistik

Die Analysten von Kaspersky Lab haben in den vergangenen drei Jahren zwischen 100.000 und 300.000 saubere Webseiten beobachtet (Web-Fragment), um herauszufinden, ab wann über diese Seiten Schadsoftware verbreitet wurde.

In der Tabelle oben sind die maximalen registrierten Infektionsraten der ganzjährig beobachteten Webseiten dargestellt – ein starker Anstieg ist erkennbar: von ungefähr einer infizierten Webseite aus insgesamt 20.000 im Jahr 2006 auf das derzeitige Maximum von einer infizierten Webseite aus 150 Anfang des Jahres 2009. Seither gab es keine signifikante Steigerung mehr. Dies kann bedeuten, dass der Sättigungspunkt erreicht worden ist, dass also alle infizierbaren Seiten infiziert worden sind. Doch die Zahl der infizierten Internetseiten steigt und fällt mit dem Auftreten neuer Schwachstellen und Tools, die es den Angreifern ermöglichen, neue Hosts zu attackieren.

Die folgenden beiden Tabellen zeigen die Schadprogramme, die 2008 und 2009 am häufigsten auf Webseiten entdeckt wurden:


Top-10-Infektionen im Jahr 2008


Top-10-Infektionen im Jahr 2009

Im Jahr 2008 belegte Trojan-Clicker.JS.Agent.h den Spitzenplatz unter den häufigsten Schadprogrammen, dicht gefolgt von Trojan-Downloader.JS.Iframe.oj.


Beispiel für den Quellecode einer mit Trojan-Clicker.JS.Agent.h
infizierten Webseite


Trojan-Clicker.JS.Agent.h entschlüsselt

Trojan-Clicker.JS.Agent.h ist ein typisches Beispiel für eine Malware-Infektion im Jahr 2008, und auch 2009: Ein kleines JavaScript-Fragment wird zur Webseite hinzugefügt, das mittels Obfuskation (“Obfuskation“ ist eine Technik, die die wahren Berechnungen einer Software in deren Code durch komplizierteste Programmierung verschleiert.) verschleiert wird, um die Analyse zu verhindern. Das Code-Fragment oben besteht aus ASCII-Zeichen, die einen Schadcode bilden, der bei Entschlüsselung in Hexadezimalcodes konvertiert wird. Der entschlüsselte Schadcode ist üblicherweise ein Iframe, der auf eine Webseite mit Exploits weiterleitet. Im Anschluss ändert sich die IP-Adresse, die Schadcodeverbreitung geht weiter. Die Startseite enthält meistens Exploits für den Internet Explorer, Firefox und Opera. Trojan-Downloader.JS.Iframe.oj, das zweithäufigste Schadprogramm, funktioniert sehr ähnlich.

2009 gab es zwei sehr interessante Fälle von Malware-Verbreitung, einer davon betraf Net-Worm.JS.Aspxor.a. Obwohl dieses Schadprogramm bereits im Juli 2008 entdeckt wurde, breitete es sich im Jahr 2009 sehr viel schneller und weiter aus. Es funktioniert mithilfe eines Werkzeugs, das SQL-Injection-Schwachstellen in Webseiten findet. Die Schwachstellen werden dann missbraucht, um schädliche Iframes einzufügen.

Ein anderer sehr interessanter Fall ist Gumblar, benannt nach dem chinesischen Host, der dabei als Ausgangspunkt missbraucht wurde. Hier ist der im entstellten JavaScript sichtbare Gumblar-String ein klares Zeichen dafür, dass eine Webseite infiziert ist.


Typische Gumblar-Infektion einer Webseite


Entschlüsseltes Gumblar-Skript

Die Domain gumblar.cn wurde inzwischen offline genommen, Cyberkriminelle haben allerdings inzwischen neue Domains für die Durchführung ähnlicher Angriffe eingerichtet. Gumblar war vor allem im Oktober 2009 sehr aktiv.

Infizierungs- und Verbreitungsmethoden

Zurzeit werden Webseiten hauptsächlich auf drei Arten mit Schadsoftware infiziert:

Die erste populäre Infizierungsmethode besteht darin, dass Schwachstellen in den Webseiten selbst, zum Beispiel eine SQL-Einschleusung, ausgenutzt werden. So kann der Seite Schadcode hinzugefügt werden. Angriffstools wie ASPXor funktionieren nach dieser Methode: Sie können massenhaften IP-Adressen scannen und dann gegebenenfalls über Schwachstellen Schadsoftware einschleusen. Diese Art von Angriffen ist oft in den Zugriffslogs von Webservern nachzuvollziehen.

Die zweite Methode besteht darin, einen Webmaster/Administratoren-Rechner mit Schadsoftware zu infizieren. Das Schadprogramm überwacht die Entwicklung und den Upload von HTML-Dateien, um ihnen dann den Schadcode hinzuzufügen.

Die dritte gängige Methode, um Webseiten mit Schadsoftware zu infizieren, funktioniert wie folgt: Ein Webmaster/Administratoren-Rechner beziehungsweise ein Rechner mit Zugriff auf einen Webhosting-Server wird mit einem passwortstehlenden Trojaner (z.B. Trojan-Ransom.Win32.Agent.ey) infiziert. Der Trojaner kontaktiert einen Server über HTTP, um FTP-Account-Passwörter abzurufen, die vorher von populären FTP-Tools wie FileZilla oder CuteFtp gesammelt wurden. Die serverseitige Komponente trägt dann die Account-Zugriffsinformation in die SQL-Datenbank ein. Ein serverseitiges Tool durchsucht daraufhin die SQL-Datenbank, loggt sich in alle FTP-Accounts ein, fängt die Startseite ab, fügt den mit dem Trojaner infizierten Code hinzu und lädt die Seite anschließend neu.

Da im dritten Fall die Zugriffsdaten für den Webhosting-Account manipuliert werden, kommt es häufig vor, dass die Infektion vom Webmaster/Administrator entdeckt, beziehungsweise er von Besuchern der Seite auf die Infizierung aufmerksam gemacht wird. Die Seite wird daraufhin gesäubert, jedoch gleich am nächsten Tag erneut infiziert.


Beispiel einer Webseite (*.*.148.240), die infiziert, gesäubert, und
wieder infiziert wurde

Häufig nutzen auch verschiedene Gruppen von Cyberkriminellen gleichzeitig dieselbe Schwachstelle oder dieselben Zugangsdaten zum Webhosting aus. Ist dies der Fall, beginnt der Wettstreit unter den Cyberkriminellen, die alle versuchen, die Webseite mit ihrer eigenen Schadsoftware zu infizieren. Ein Beispiel hierfür ist der folgende Fall:


Scanbericht einer Webseite (*.*.176.6) mit mehreren Infektionen

Am 11. Juni 2009 war die beobachtete Seite noch sauber; am 5. Juli 2009 wurde sie mit Trojan-Clicker.JS.Agent.gk infiziert. Am 15. Juli 2009 kam ein anderes Schadprogramm (Trojan-Downloader.JS.Iframe.bin) hinzu. Zehn Tage danach wurde es durch ein drittes Schadprogramm ersetzt. Dies kommt relativ häufig vor, und viele Webseiten sind tatsächlich mehrfach mit Schadprogrammen infiziert, die nacheinander von verschiedenen Onlinebetrügern hinzugefügt wurden.

Ist die eigene Webseite infiziert, sollte man die folgenden Maßnahmen ergreifen:

  • Stellen Sie fest, wer über die Webhosting-Zugriffsinformationen verfügt. Scannen Sie anschließend deren Systeme mit einer aktuellen Internetsicherheits-Software und entfernen Sie alle erkannten Schadprogramme
  • Ersetzen Sie das Webhosting-Kennwort durch ein sicheres Passwort. Sichere Passwörter müssen Buchstaben, Zahlen und nicht-alphanumerische Zeichen enthalten, um die Entschlüsselung zu erschweren
  • Ersetzen Sie alle infizierten Dateien durch saubere Kopien
  • Suchen Sie nach Sicherungskopien, die infizierte Dateien enthalten können, und desinfizieren Sie diese

Dass infizierte Webseiten häufig erneut infiziert werden, nachdem sie gesäubert worden sind, kommt meistens nur einmal vor. Denn während die nach der Erstinfizierung ergriffenen Maßnahmen oft nur rudimentär sind, wird der Webmaster/Administrator beim Schutz seiner Webseite sicherlich sehr viel gründlicher vorgehen, wenn diese zum wiederholten Male infiziert wurde.

Geschichte einer Evolution: Infizierung sauberer Webseiten

Vor einigen Jahren, als über das Netz immer mehr Malware verbreitet wurde, konnten Internetbetrüger meist nur auf das so genannte Bullet-Proof-Hosting oder auf ein mit gestohlenen Kreditkarten gekauftes Hosting zurückgreifen. Als die Sicherheitsbranche diesen Trend bemerkte, wurden auf ihr Bestreben hin einige der größten Malware-Hosts offline genommen wurden (unter anderem der US-amerikanische Webhosting-Provider McColo und die estnische Firma EstDomains). Während Schadsoftware in einigen Fällen noch immer auf offensichtlich infizierten Webseiten gehostet wird, etwa in China (wo es nach wie vor schwierig ist, diese offline zu nehmen), wird Malware jetzt zunehmend auf an sich sauberen Domains gehostet.

Aktion und Reaktion

Einer der wichtigsten Aspekte im ständigen Kampf zwischen Internetkriminellen und Sicherheitsunternehmen ist die Wandlungs- und Anpassungsfähigkeit beider Seiten. Taktiken werden geändert und neue Technologien eingebracht, um so der Gegenseite immer einen Schritt voraus zu sein.

Aktuelle Browser, wie Firefox 3.5, Chrome 2.0 und Internet Explorer 8.0, bieten heute einen eingebauten Schutz gegen Schadsoftware in Form von URL-Filtern. Mit dieser Funktion sind Benutzer vor Webseiten geschützt, die Exploits für Schwachstellen enthalten.

Sowohl Firefox als auch Chrome benutzen beispielsweise die Google Safe Browsing API, einen kostenlosen URL-Filter-Service von Google. Derzeit enthält die Schadsoftware-Liste der Google Safe Browsing API rund 300.000 Einträge schädlicher Webseiten und mehr als 20.000 Einträge für Phishing-Seiten.

Mit der Google Safe Browsing API werden die URLs nicht invasiv gefiltert. Statt jede URL zur Überprüfung an eine Drittpartei zu senden, wie es der Phishing-Filter im Internet Explorer tut, werden die URLs mit einer Liste von MD5-Prüfsummen verglichen. Um höchste Effektivität zu gewährleisten, wird die Liste regelmäßig aktualisiert – in einem empfohlenen Intervall von 30 Minuten. Diese Methode hat den Nachteil, dass es mehr infizierte Webseiten gibt als Einträge in der MD5-Liste. Damit die Listen nicht zu umfangreich werden (momentan sind diese 12 MB groß), werden lediglich die am häufigsten anzutreffenden infizierten Internetseiten in die Liste aufgenommen. Der Nachteil, Anwender können sich auf den nicht gelisteten Seiten mit Schadcode infizieren, auch wenn ihr Browser mit der Google Safe Browsing API arbeitet.

Die Einführung von Technologien für das sichere Browsing ist ein Zeichen dafür, dass die Browserentwickler die Tendenz zur Verbreitung von Schadsoftware über Webseiten erkannt und entsprechende Gegenmaßnahmen ergriffen haben. Der integrierte Schutz für Webbrowser ist so zum Standard geworden.

Fazit und Tipps

In den vergangenen drei Jahren ist die Anzahl von offiziellen Webseiten, die mit Schadsoftware infiziert wurden, sehr stark gestiegen. Heute gibt es mehr als hundertmal so viele infizierte Webseiten im Internet wie noch vor drei Jahren. Beliebte Webseiten mit hohem Datenaufkommen werden von Internetkriminellen gerne missbraucht, um Malware zu verbreiten. Denn die Zahl der potentiellen Opfer ist hier überdurchschnittlich hoch.

Webmaster und Administratoren sollten die folgenden einfachen Sicherheitstipps beherzigen, um einen Infizierung ihrer Webseite zu vermeiden:

  • Sichere Passwörter für Webhosting-Accounts verwenden
  • Beim Dateiupload SCP/SSH/SFTP statt FTP verwenden. Denn so werden die Passwörter nicht unverschlüsselt über das Internet gesendet
  • Eine adäquate Sicherheitslösung installieren und ausführen
  • Sicherungskopien aktualisieren, mit deren Hilfe die Webseite im Falle einer Infizierung schnell wiederhergestellt werden kann.

Bestimmte Faktoren steigern das Risiko, sich beim Surfen mit schädlichem Code zu infizieren. Dazu gehören die Verwendung von Raubkopien, die Nicht-Installation von Sicherheitspatches, der Verzicht auf eine Sicherheitslösung sowie ein generell mangelndes Bewusstsein/Wissen über Internetbedrohungen.

Raubkopien spielen bei der Infizierung von Rechnern eine wichtige Rolle. Raubkopien von Microsoft Windows werden generell nicht automatisch mit den neuesten Sicherheitspatches aktualisiert. Dies bedeutet, dass Anwender völlig ungeschützt sind, wenn Cyberkriminelle neue Schwachstellen entdecken und diese ausnutzen.

Zudem sind ältere Versionen des Internet Explorers – dem nach wie vor meistbenutzten Browser – sehr Exploit-anfällig. Im Prinzip kann jede infizierte Internetseite eine nicht gepatchte Version von Internet Explorer 6.0 ausnutzen.

Ein weiterer Risikofaktor ist der Verzicht auf eine aktuelle Sicherheitslösung. Auch wenn das System an sich aktualisiert ist, kann es über Zero-Day-Schwachstellen in Software von Dritten infiziert werden. Sicherheitslösungen werden in der Regel viel schneller aktualisiert als Softwarepatches produziert werden. Sie bieten daher vor allem in dieser Anfälligkeitsphase eine dringend benötigte Schutzebene.

Auch wenn Patches für die Sicherheit des Computers sehr wichtig sind, sollte der Faktor Mensch nicht außer Acht gelassen werden. Ein Beispiel: Ein Anwender lädt sich einen lustigen Videoclip aus dem Internet herunter. Als er sich das Filmchen ansehen möchte, entpuppt sich dies allerdings als Schadprogramm, ein beliebter Trick bei Cyberkriminellen, wenn es ihnen nicht gelingt, ein System mit Exploits zu infizieren. Vor allem Anwender von sozialen Netzwerken sollten daher ihren gesunden Menschenverstand einschalten, wenn Sie im Internet surfen, denn Facebook und Co werden zunehmend von Internetkriminellen ins Visier genommen.

Der Artikel und Zitate daraus dürfen unter Nennung des Unternehmens Kaspersky Lab sowie des Autors frei veröffentlicht werden.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.