Drive-by-Downloads. Das Web im Belagerungszustand

Inhalt

Einleitung

Der Verbreitungsweg von Computerviren und Schadprogrammen hat sich im Laufe der Jahre ebenso stark verändert wie die Übertragung der Informationen an sich. Früher wurden Daten meist mit Hilfe unterschiedlichster Speichermedien von einem Computer auf den anderen geladen. Anfang der 1980er Jahre erfolgte die Datenübertragung noch mittels kostenintensiver privater Datennetzwerke. Die Aufforderung der US-Regierung an die Anbieterfirmen, für mehr Konsistenz bei der Übertragung und den Formaten der von ihr empfangenen Daten zu sorgen, war die Geburtsstunde des Internets. Mit ihm konnten Unternehmen jeder Größe nun Daten über dieses „kostenlose“ Netzwerk versenden, wofür meistens E-Mail-Nachrichten oder E-Mail-Anhänge verwendet wurden. Gegen Ende der 1990er Jahre folgten die berühmt und berüchtigt gewordenen Viren, die bei Unternehmen und Privatanwendern weltweit Schaden anrichteten. Die Schädlinge nutzten zum Beispiel E-Mail-Programme für ihre Replikation und Verteilung.

In der Zwischenzeit entwickelte sich das World Wide Web rasant zu einer wertvollen Plattform für Informationsaustausch, globalen Handel und Produktivität am Arbeitsplatz. Langsam aber sicher erkannte man den Nutzen der Informationsübertragung über einen anderen Weg als E-Mail (Pushing). Der Zugang zu Informationen konnte nun über Links erfolgen, die sich zudem auch per E-Mail verschicken ließen. Heutzutage glauben viele Menschen immer noch, die Verwendung eines Webbrowsers gleiche einem Schaufensterbummel oder einem Besuch einer Bibliothek, wo nichts ohne das Wissen dieser Person geschieht. Vieles von dem, was sich hinter den Kulissen abspielt, bekommt der User einfach nicht mit, weil es schlicht und einfach nicht sichtbar ist. Die meisten Heimanwender und viele Unternehmensmitarbeiter außerhalb der IT-Abteilung verstehen also nicht, was alles im Hintergrund abläuft, wenn Webbrowser mit Desktop-Applikationen oder auf einem PC gespeicherten Daten und Webservern interagieren. Würden sie einen Blick hinter die Kulissen werfen, wären sie jedoch höchst erstaunt angesichts der Vielzahl technisch ausgereifter Hintergrund-Kommunikation.

Leider zog diese technische Entwicklung und Ausgereiftheit die Aufmerksamkeit gut organisierter Malware-Lieferanten auf sich, die nun ihre Viren, Spyware, Trojaner, Botnetze, Rootkits und gefälschte Sicherheitsprogramme über das Web verbreiten wollen. Hersteller von Antivirensoftware bezeichnen das unwissentliche Herunterladen von Malware als „Drive-by-Download“.

Ein solcher Vorgang geschieht, ohne dass der Anwender etwas davon weiß geschweige denn mitbekommt. Er infiziert sich rein dadurch, dass er eine dieser präparierten Website besucht.

Dieses Whitepaper beschreibt den genauen Ablauf eines Drive-by-Downloads, die dabei verwendeten Tricks und eingesetzte Technologien sowie die Nutzung von Drive-by-Download-Attacken für den Diebstahl persönlicher Daten und Computerübernahmen.

Explosionsartige Ausbreitung

Bevor im Folgenden Drive-by-Downloads eingehender untersucht werden, empfiehlt es sich, den explosionsartigen Anstieg dieser Angriffe während der letzten Jahre genauer zu betrachten. Weiterhin sollten man sich bewusst machen, dass dieselbe Schadsoftware (Viren, Spyware, Trojaner, Botnetze, Rootkits und gefälschte Sicherheitssoftware) auf unterschiedlichem Weg übertragen werden kann und häufig auch übertragen wird – manchmal via E-Mail, durch Aufrufen einer Website oder auf eine andere Weise.

Abb. 1 – Entwicklung der Malware-Übertragungsmethoden
Die Verbreitung von Drive-by-Malware stellt für die Cyberkriminellen einen großen Reiz dar, da es sich grundsätzlich um eine unauffällige Art der Infektion handelt, die zu überaus erfolgreichen Angriffen führt. Abbildung 1 zeigt den zeitlichen Verlauf webbasierter Bedrohungen durch Malware, welche das Unternehmen ScanSafe identifiziert hat.


Abb. 1 – Entwicklung der Malware-Übertragungsmethoden

Die Grafik macht deutlich, wie sehr sich die Bedrohungen für Unternehmen seit 1996 von E-Mail zu Internet und Instant Messaging (IM) verschoben haben.

Laut ScanSafe kann man 74 Prozent der im 3. Quartal 2008 festgestellten Schadsoftware auf Besuche präparierter Websites zurückführen.

Vor dem Hintergrund des dramatischen Anstiegs dieses Problems stellen wir nun die „Drive-by-Downloads“ im Detail vor. Das beinhaltet den Ablauf der Attacken, die Techniken zum Anlocken potentieller Opfer auf präparierte Websites, die hoch entwickelten Exploit-Kits und die von ihnen anvisierten Anwendungen, das komplizierte Labyrinth der Umleitungen im Web und die für Identitätsdiebstahl und Computerübernahme-Angriffe verwendete Payload.

Browserangriffe

Um die dramatische Verschiebung hin zur Nutzung von Webbrowsern als Angriffsinstrument in ihrem ganzen Ausmaß verstehen zu können, sollte man sich die größten Internet-basierten Computerangriffe ansehen. Während der „Internet-Wurm-Ära“ richteten Code Red, Blaster, Slammer und Sasser in Unternehmensnetzwerken verheerenden Schaden an. Dazu verwendeten Hacker Remote-Exploits für Sicherheitslücken im Windows-Betriebssystem. Bei einem Remote-Exploit befindet sich das Schadprogramm auf einem Netzwerkserver und nutzt eine Sicherheitslücke auf dem Rechner des Anwenders aus – ohne jedoch vorher einen Zugriff auf diesen Rechner anzufordern. Weiterhin waren schädliche Anwendungs-Programme wie Melissa an E-Mail-Nachrichten angehängt oder wurden über Instant Messaging oder Peer-to-Peer-Verbindungen übertragen.

Microsoft reagierte erfolgreich auf die Wurmangriffe. Windows XP wurde mit dem Service Pack 2 um eine Firewall ergänzt, die standardmäßig gestartet wird. Zudem wurden verschiedene Wurm-Entschärfungs-Mechanismen im Betriebsystem implementiert. Mit den automatischen Windows-Updates erhielten Anwender eine gewisse Unterstützung gegen Malware, sofern sie die Patches regelmäßig installierten. Immer mehr Unternehmen und Heimanwender wussten um die Online-Bedrohungen und verhielten sich deshalb immer umsichtiger. Sie blockierten E-Mail-Anhänge oder öffneten seltsam anmutende Programme erst gar nicht. Beide Faktoren zwangen die Angreifer zu einem Taktikwechsel. Sie mussten nun ihr Hauptaugenmerk auf Fremdsoftware richten und die Kunst des Social Engineering perfektionieren.

Diese Entwicklung führte außerdem zum Aufkommen des Drive-by-Downloads, einer neuen und im Verborgenen ablaufenden Methode. Dabei wird der Browser als Hilfsmittel für die Verbindung von Computern mit Fremdservern benutzt, die schädliche Exploits hosten. Bei einer Drive-by-Attacke wird das Schadprogramm ohne Wissen oder Einverständnis des Anwenders automatisch auf seinen Computer heruntergeladen. Normalerweise erfolgt der Angriff in zwei Schritten: Der Anwender ruft zunächst eine mit einem Code präparierte Website auf, welche die Verbindung dann auf einen manipulierten Fremdserver mit gehosteten Exploits umleitet. Abbildung 2 des Anti-Malware-Teams von Google zeigt das Schema eines Drive-by-Download-Angriffs. Diese Exploits können sich gegen Sicherheitslücken im Webbrowser, ein nicht gepatchtes Browser-Plug-in, eine kritische Lücke in einem ActiveX-Control oder jede andere Schwachstelle einer Fremdsoftware richten.


Abb. 2 – Aufbau eines Drive-by-Download-Angriffs

Wie die Abbildung zeigt, erfolgt erst eine wiederholte Umleitung der Verbindung auf verschiedene Webseiten, bevor schließlich der Exploit heruntergeladen wird.

Nach den Erkenntnissen von Kaspersky Lab und anderen Unternehmen aus der IT-Sicherheitsbranche befinden wir uns inmitten einer Drive-by-Download-Epidemie riesigen Ausmaßes. Das Anti-Malware-Team von Google arbeitete sich kürzlich zehn Monate lang durch Milliarden von Webseiten und identifizierte mehr als drei Millionen URLs, die als Auslöser von Drive-by-Malware dienen.

„Noch schockierender ist die Feststellung, dass bei zirka 1,3 Prozent aller bei Google eingehenden Suchanfragen mindestens eine als schädlich eingestufte URL auf der Ergebnisseite auftaucht“, stellt eine von Google veröffentlichte Studie fest (Google Technical Report provos-2008a, http://research.google.com/archive/provos-2008a.pdf). Abbildung 3 stammt aus dieser Studie und zeigt für den Untersuchungszeitraum einen alarmierenden Aufwärtstrend bei dem Anteil an Suchanfragen, die auf eine infizierte Site führen.


Abb. 3 – Suchergebnisse, die eine schädigende URL aufweisen

Zu Beginn des Drive-by-Download-Aufkommens erstellten Hacker schädliche Websites normalerweise selbst und nutzten Social-Engineering-Tricks als Köder, um Besucher auf diese Seiten zu locken. Diese Strategie ist auch weiterhin eine Hauptursache schädlicher Aktivitäten im Netz. Hacker haben in letzter Zeit aber verstärkt legitime Websites infiziert und entweder heimlich deren Skript-Code infiltriert oder einen Redirect-Code eingeschleust, der unbemerkt Angriffe über den Browser startet.

Anatomie eines Drive-by-Angriffs

Im Jahr 2007 zeigte eine Aufsehen erregende Website-Manipulation, wie Drive-by-Downloads gegen Computerbenutzer eingesetzt werden. In den Wochen vor dem NFL-Superbowl-Spiel drangen Hacker in die Website des Miami Dolphin Stadium ein und infizierten sie mit einem Bruchstück eines JavaScript-Codes (siehe Abbildung 4).


Abb. 4 – Auf der Website des Miami Dolphin Stadium eingeschleuster JavaScript-Code

Jeder Nutzer, der diese Website mit seinem nicht gepatchten Windows-Betriebssystem aufrief, verband seinen Rechner unwissentlich mit einem Remote-Exploit, der bekannte und in den Microsoft Security Bulletins MS06-014 und MS07-004 beschriebene Sicherheitslücken auszunutzen versuchte. War der Exploit-Code erfolgreich, wurde heimlich ein Trojaner installiert, der dem Angreifer vollen Zugriff auf den infizierten Computer ermöglichte. Später konnte der Angreifer den verseuchten Rechner zum Diebstahl vertraulicher Daten missbrauchen oder eine DoS-Attacke ausführen.

Im weiteren Verlauf des Jahres 2007 wurde die stark besuchte Website der „Bank of India” Ziel eines hoch komplizierten Angriffs, der Mehrfachumleitungen, zwei schwer zu erkennende Rootkits, zwei Trojan-Downloader und drei Backdoor-Trojaner miteinander kombinierte. Durch die Mehrfachumleitungen wurden Windows-Rechner zu einem Server gelotst, der einen E-Mail-Wurm beherbergte.

Der Angriff auf die Website der Bank of India verband die Verschleierung mittels JavaScript mit vielfachen iFrame-Umleitungs-Hops und Fast-Flux-Techniken, um eine Entdeckung zu verhindern und die manipulierten Server während des Angriffs online zu halten. Abbildung 5 zeigt im Hintergrund einen Screenshot der manipulierten, äußerlich unveränderten Website der Bank of India. Im Vordergrund ist ein kleiner Abschnitt des Codes zu sehen, der für die Ausführung des Drive-by-Download-Angriffs verwendet wurde.


Abb. 5 – Die Website der Bank of India und das Malicious Script

Dies sind lediglich zwei Beispiele, um das Ausmaß der Bedrohungen für legitime Websites zu verdeutlichen. Bei der Identifizierung webbasierter Bedrohungen durch Schadprogramme stellte ScanSafe fest, dass bis Mitte 2008 der Großteil der identifizierten Schadprogramme auf legitimen Websites gefunden wurde. Die Kernaussagen des ScanSafe-Berichts für das 3. Quartal 2008 lauten wie folgt:

  • Die Anzahl webbasierter Schadprogramme stieg im 3. Quartal 2008 verglichen mit dem 1. Quartal 2008 um 338 Prozent und im Vergleich zum 4. Quartal 2007 um ganze 553 Prozent an.
  • Fast 31 Prozent aller Malware-Bedrohungen im September 2008 sind Zero-Day-Bedrohungen. Für eine Zero-Day-Bedrohung existiert noch kein Patch.
  • Verglichen mit Januar 2008 stieg das Risiko von Backdoor- und PSW-Trojanern bis September 2008 um 267 Prozent.

Eine andere Strategie der Angreifer besteht darin, Third-Party-Advertising-Server zu manipulieren. Damit leiten sie die Rechner von Windows-Nutzern auf Rogue-Server (illegale Server) um, die Drive-by-Donwloads hosten. Diese bösartigen Werbeanzeigen („Malvertisement“) sind gewöhnlich Flash-basiert und nutzen nicht gepatchte Desktop-Anwendungen aus.

Exploit-Kits

Exploit-Kits für Malware fungieren als Vehikel für Drive-by-Downloads. Dabei handelt es sich um professionell geschriebene Softwarekomponenten, die auf einem Server mit Datenbank-Backend liegen. Diese Kits sind über illegale Hacker-Sites erhältlich und mit Exploits für Sicherheitslücken weit verbreiteter Desktop-Applikationen ausgerüstet, einschließlich Apple QuickTime Media Player, Adobe Flash Player, Adobe Reader, RealNetworks RealPlayer und WinZip.

Weiterhin werden Browser-spezifische Exploits verwendet, deren Zielobjekte Microsoft Internet Explorer, Mozilla Firefox, Apple Safari und Opera sind. Zahlreiche zielorientierte Exploit-Kits enthalten lediglich einen Angreifercode für Sicherheitslücken in Adobe PDF oder bekannte Schwachstellen in ActiveX-Controls.

Identitätsdiebe und andere Verfasser von Schadprogrammen kaufen diese Exploit-Kits und installieren sie auf einem manipulierten Server. Ein Code, der Internetaktivitäten auf diesen bösartigen Server umleitet, wird in bestimmte Websites eingeschleust. Um User auf die infizierten Seiten zu locken, verschicken die Übeltäter ihre Links anschließend per Spam-Mails oder stellten sie in Internet-Foren.

Identitätsdiebe und andere Verfasser von Malware kaufen Exploit-Kits und installieren sie auf einem manipulierten Server.

Ein Server mit einem Exploit-Kit ist in der Lage, über HTTP-Request-Header sowohl Browsertyp und -version des Besuchers als auch das von ihm verwendete Betriebssystem zu bestimmen. Ist das Betriebssystem erst einmal ermittelt, kann das Exploit-Kit das zu versendende Exploit auswählen.

Manchmal können die Websites mehrere Exploits gleichzeitig versenden, die dann versuchen, einen Rechner über Sicherheitslücken in der Fremdsoftware zu manipulieren. Einige der weiter ausgereiften Exploits erhalten einen regelrechten Support und werden monatlich mit den neuesten Exploit-Updates aktualisiert. Die Kits kommen mit einer gut aufgebauten Bedieneroberfläche, in der detaillierte Informationen über erfolgreiche Angriffe gespeichert sind. Diese Angaben reichen von erfolgreich angegriffenen Betriebssystemversionen über das Herkunftsland infizierter Rechner und das dabei verwendete Exploit bis hin zur Erfolgsquote der Exploits, die sich an der Besucherzahl einer manipulierten Website bemisst.

Abbildung 6 verdeutlicht, welche Bandbreite an Anwendungen ein einziges Exploit-Kit angreifen kann. Dieser Schädling wurde während eines Angriffs abgefangen, bei dem Rechner über ein schädliches JavaScript umleitet wurden. Dieses Beispiel belegt einerseits die dramatische Verbreitung von Exploits für Microsoft-Programme. Zum anderen offenbart dieser Fall, wie gleichzeitig andere Softwareprogramme manipuliert werden, um den Nutzen des Exploit-Kits für die Cyberkriminellen eventuell noch zu steigern.

Exploit Microsoft Bulletin
(falls vorhanden)
MDAC remote code execution MS06-014
ShockwaveFlash.ShockwaveFlash.9 exploit  
WebViewFolderIcon setSlice() exploit MS06-057
Msdds.dll exploit MS05-052
Microsoft Works exploit MS08-052
Creative Software AutoUpdate Engine exploit  
Online Media Technologies NCTsoft NCTAudioFile2 ActiveX buffer overflow  
Ourgame GLWorld GLIEDown2.dll exploit  
DirectAnimation.PathControl buffer overflow MS06-067

Abb. 6 – Inhalt eines einzigen Exploit-Kits

Ungepatchte Monokultur

Die grassierende Epidemie der Drive-by-Downloads kann zum größten Teil den fehlenden Patches für Windows-Systeme zugeschrieben werden. Mit nur wenigen Ausnahmen richten sich die im Umlauf befindlichen Exploits gegen bekannte Software-Sicherheitslücken, für die Patches existieren. Aus diversen Gründen installieren Anwender die notwendigen Software-Fixes jedoch nur sehr zögerlich.

Die automatischen Microsoft-Updates bieten Anwendern eine gute Möglichkeit, die Sicherheitslücken ihres Betriebssystems stets mit den entsprechenden Patches zu schließen, wobei dasselbe allerdings nicht für Desktop-Applikationen von Fremdanbietern gilt. Secunia, ein Unternehmen, das sich auf die Identifizierung von Sicherheitslücken in Softwareprogrammen spezialisiert hat, schätzt, dass rund ein Drittel aller Desktop-Applikationen durch eine bekannte (gepatchte) Sicherheitsbedrohung gefährdet ist.

Mit nur wenigen Ausnahmen richten sich im Umlauf befindliche Exploits gegen Software-Sicherheitslücken, die bekannt sind, und für die Patches zur Verfügung stehen.

Schaut man sich vorhandene Exploit-Kits an, so entdeckt man verschiedene alte Sicherheitslücken wie MS06-014 und MS05-052, die auch Jahre nach Entwicklung des entsprechenden Patches in Umlauf sind. Die dritte und vierte Ziffer geben das Jahr der Bulletin-Veröffentlichung an. Die zielorientierten Exploit-Packages, die sich ausschließlich gegen Schwachstellen im Adobe PDF Reader richteten, waren trotz Verbesserungen des Security-Response-Prozesses von Adobe höchst erfolgreich. Der Adobe Flash Player, der auf nahezu allen internetfähigen Computern installiert ist, stellt ebenso wie der RealNetworks RealPlayer ein weiteres beliebtes Zielobjekt dar.

Fazit: Angriffe vermeiden

Die meisten modernen Webbrowser, einschließlich Internet Explorer, Firefox und Opera, verfügen inzwischen über Malware-Blocker-Funktionen und ein Frühwarnsystem, das Benutzer vor kompromittierten Websites warnt. Diese Malware-Blocker sind zwar von großem Vorteil, bieten Internetsurfern jedoch keinen hundertprozentigen Schutz, da sie auf dem Prinzip von Blacklists basieren.

Der beste Schutz vor Drive-by-Downloads besteht darin, dem „Patch-Management“ der Sicherheitslösungen höchste Beachtung zu schenken. Insbesondere werden Anwender dazu angehalten:

  • eine Patch-Managementlösung zu verwenden, die sie beim Identifizieren und Aktualisieren aller Desktop-Applikationen von Fremdanbietern unterstützt. Secunia bietet dafür mit dem Personal Software Inspector und dem Network Security Inspector zwei Tools an, die beim Erkennen ungepatchter Applikationen zur Seite stehen.
  • einen Desktop-Browser zu verwenden, der Funktionen für Anti-Phishing und Anti-Malware enthält. Microsoft Internet Explorer, Mozilla Firefox sowie Opera bieten jeweils die notwendigen Sicherheitsfeatures zum Blocken manipulierter Websites.
  • eine Firewall zu aktivieren und sämtliche Updates für das Microsoft-Betriebssystem zu installieren. Auf Raubkopien, deren Updatefunktion durch die Windows-Echtheitsprüfung (WGA) deaktiviert wurde, sollte man verzichten.
  • Anti-Viren/Anti-Malware-Software zu installieren und ihre Datenbanken auf dem neuesten Stand zu halten. Das Antiviren-Programm sollte außerdem einen Browser-Traffic-Scanner verwenden, der Anwender beim Aufspüren potentieller Probleme durch Drive-by-Downloads unterstützt.

Diese Maßnahmen für den Umgang mit Sicherheitslücken bieten immer noch den besten und wirksamsten Schutz vor Drive-by-Download-Angriffen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.