Sicherheit: Attacken über Web-Seiten:
Hintergrundwissen: Wie Drive-by-Angriffe funktionieren

von Bernd Reder (bernd.reder@networkcomputing.de), Ryan Naraine (Kaspersky)

27.04.2009

Die Drive-by-Attacke ist heute eine der besten Waffen im Arsenal von Cyber-Kriminellen. Dabei werden Internet-User auf eine Web-Seite gelotst, auf der die Angreifer Malware platziert haben. Diese nutzt Sicherheitslücken im Browser und Betriebssystem des Besuchers aus, um dessen Rechner zu kapern. Ein Experte der IT-Sicherheitsfirma Kaspersky Lab zeigt, wie solche Drive-by-Angriffe ablaufen und wie man sich dagegen schützen kann.

Die meisten Heimanwender und viele Unternehmensmitarbeiter haben keine Ahnung davon, wie viele Kommunikationsprozesse im Hintergrund ablaufen, wenn Web-Browser mit Desktop-Applikationen, auf einem PC gespeicherten Daten und Web-Servern interagieren.


E-Mail ist out: Malware wird laut Kaspersky über andere Medien wie
Instant-Messaging und Web-Browser übertragen.

Leider haben auch Malware-Lieferanten diese Prozesse für sich entdeckt. Sie nutzen das Web, um Viren, Spyware, Trojaner, Rootkits und gefälschte Sicherheitsprogramme zu verbreiten. Hersteller von Antivirensoftware bezeichnen das unwissentliche Herunterladen von Malware als »Drive-by-Download«.

Ein solcher Vorgang geschieht, ohne dass der Anwender etwas davon mitbekommt. Sein Rechner infiziert sich, indem er eine präparierte Web-Site besucht. Die Verbreitung von Drive-by-Malware stellt für Cyber-Kriminelle einen großen Reiz dar, weil es sich um eine unauffällige und effiziente Art der Infektion handelt.

Nach Angaben der Sicherheitsfirma Scansafe [1] wurden 74 Prozent der Schadsoftware, die im dritten Quartal 2008 auftrat, über gehackte oder Malware-Autoren aufgesetzte Web-Seiten verteilt.

Klassische Wurmangriffe funktionieren nicht mehr

Um die dramatische Verschiebung hin zur Nutzung von Web-Browsern als Angriffsinstrument verstehen zu können, sollte man sich die größten Internet-basierten Computerangriffe ansehen. Während der »Internet-Wurm-Ära« richteten Schädlinge wie Code Red, Blaster, Slammer und Sasser in Unternehmensnetzwerken verheerenden Schaden an. Dazu verwendeten Hacker Remote-Exploits für Sicherheitslücken im Windows-Betriebssystem.

Bei einem Remote-Exploit befindet sich das Schadprogramm auf einem Netzwerkserver und nutzt eine Sicherheitslücke auf dem Rechner des Anwenders aus – ohne jedoch vorher einen Zugriff auf diesen Rechner anzufordern. Zudem wurden schädliche Programme wie »Melissa« an E-Mail-Nachrichten angehängt oder über Instant Messaging oder Peer-to-Peer-Verbindungen übertragen.

Microsoft reagierte erfolgreich auf diese Wurmangriffe. Windows XP wurde mit dem Service Pack 2 um eine Firewall ergänzt, die standardmäßig gestartet wird. Zudem implementierte der Hersteller verschiedene Mechanismen im Betriebssystem, die Würmer »entschärfen«.

Mit den automatischen Windows-Updates erhielten Anwender außerdem Unterstützung gegen Malware, vorausgesetzt, sie installieren die Patches regelmäßig. Dass dies auch heute nicht immer der Fall ist, zeigt das Beispiel von »Conficker«. Diese Schadsoftware nutzt eine Sicherheitslücke der RPC-Funktion von Windows. Microsoft brachte bereits im Oktober 2008 einen Patch heraus. Dennoch infizierten sich bis Anfang April schätzungsweise 10 Millionen Windows-Systeme mit Conficker.

Neue Taktik: Drive-by-Angriffe

Die klassischen Wege der Malware-Verbreitung funktionieren auch deshalb nicht mehr so gut, weil Anwender vorsichtiger sind. Sie blockierten E-Mail-Anhänge oder öffneten seltsam anmutende Attachments nicht.

Beide Faktoren zwangen die Angreifer zu einem Wechsel ihrer Taktik. Ein Ergebnis ist der Drive-by-Download-Angriff. Dabei wird der Browser als Hilfsmittel für die Verbindung von Computern mit Servern benutzt, die schädliche Exploits hosten.


Ablauf einer Drive-by-Attacke: In mehreren Schritten wird geprüft, ob der Rechner des Opfers ein Sicherheitsloch aufweist. Wenn ja, wird zu einem Server eine Verbindung aufgebaut, von dem Malware wie etwa ein Trojaner heruntergeladen wird.

Normalerweise erfolgt der Angriff in zwei Schritten: Der Anwender ruft zunächst eine präparierte Web-Site auf. Diese leitet die Verbindung dann zu einem Server mit Exploits um. Die Exploits können sich gegen Sicherheitslücken im Web-Browser, ein nicht gepatchtes Browser-Plug-in, eine kritische Lücke in einem ActiveX-Control-Element oder jede andere Schwachstelle einer Fremdsoftware richten.

Drei Millionen Web-Seiten verteilen Schadsoftware

Nach Erkenntnissen von Kaspersky Lab [2] und anderen Unternehmen aus der IT-Sicherheitsbranche befinden wir uns inmitten einer Drive-by-Download-Epidemie riesigen Ausmaßes. Das Anti-Malware-Team von Google arbeitete sich kürzlich zehn Monate lang durch Milliarden von Web-Seiten und identifizierte mehr als drei Millionen URLs, die als Verbreiter von Drive-by-Malware dienen.

Noch schockierender ist die Feststellung, dass bei zirka 1,3 Prozent aller bei Google eingehenden Suchanfragen mindestens eine als schädlich eingestufte URL auf der Ergebnisseite auftaucht, wie eine von Google veröffentlichte Studie feststellt.

Zu Beginn des Drive-by-Download-Zeitalters erstellten Hacker schädliche Web-Sites normalerweise selbst und nutzten Social-Engineering-Tricks als Köder, um Besucher auf diese Seiten zu locken. Diese Strategie ist auch weiterhin eine Hauptursache schädlicher Aktivitäten im Netz.

Angreifer hacken in letzter Zeit aber auch verstärkt Web-Sites von Unternehmen oder Behörden. Sie schleusen entweder heimlich eigenen Code ein oder implementieren einen Redirect-Code, der unbemerkt Angriffe über den Browser startet.

Anatomie eines Drive-by-Angriffs

Im Jahr 2007 zeigte eine Aufsehen erregende Web-Site-Manipulation, wie Drive-by-Downloads gegen Computerbenutzer eingesetzt werden. In den Wochen vor dem NFL-Superbowl-Spiel in den USA hackten Cyber-Kriminelle die Web-Site des Miami-Dolphin-Stadions, des Veranstaltungsorts des Spiel. Sie infizierten die Seite mit einem Bruchstück eines selbst fabrizierten Javascript-Codes.


Der Javascript-Schnippsel, mit dem Angreifer 2007 die Web-Seite des Stadions der Miami Dolphins infiltrierten.

Jeder Nutzer, der diese Web-Site von einem nicht gepatchten Windows-PC aus aufrief, verband sein System unwissentlich mit einem Remote-Exploit. Dieser versuchte, bekannte und in den Microsoft-Security-Bulletins MS06-014 und MS07-004 beschriebene Sicherheitslücken auszunutzen.

War der Exploit-Code erfolgreich, wurde heimlich ein Trojaner installiert, der dem Angreifer vollen Zugriff auf den infizierten Computer ermöglichte. Später konnte der Angreifer den verseuchten Rechner zum Diebstahl vertraulicher Daten missbrauchen oder ihn in ein Bot-Netz integrieren.

Angriff über Bank-Web-Seite

Ebenfalls 2007 wurde die stark besuchte Web-Site der Bank of India Ziel eines komplexen Angriffs. Er kombinierte Mehrfachumleitungen, zwei schwer zu erkennende Rootkits, zwei Trojan-Downloader und drei Backdoor-Trojaner miteinander. Durch die Mehrfachumleitungen wurden Windows-Rechner zu einem Server gelotst, der einen E-Mail-Wurm beherbergte.


Auch die Web-Seite der Bank of India wurde für Drive-by-Angriffe missbraucht.

Der Angriff auf die Web-Site der Bank of India verband die Verschleierung mittels Javascript mit vielfachen iFrame-Umleitungs-Hops und Fast-Flux-Techniken, um eine Entdeckung zu verhindern und die manipulierten Server während des Angriffs online zu halten.

Ad-Server werden manipuliert

Laut Scansafe stieg die Zahl webbasierter Schadprogramme im dritten Quartal 2008 im Vergleich zum ersten Quartal um 338 Prozent. Fast 31 Prozent aller Malware-Bedrohungen im September 2008 waren Zero-Day-Bedrohungen. Für eine Zero-Day-Bedrohung existiert noch kein Patch. Verglichen mit Januar 2008 stieg das Risiko von Backdoor- und PSW-Trojanern bis September 2008 um 267 Prozent.

Eine andere Strategie der Angreifer besteht darin, Advertising-Server von Drittanbietern zu manipulieren. Damit leiten sie die Rechner von Windows-Nutzern auf so genannte Rogue-Server (illegale Server) um, die Drive-by-Downloads hosten. Diese bösartigen Werbeanzeigen (»Malvertisement«) basieren normalerweise auf Flash und nutzen Löcher in nicht gepatchten Desktop-Anwendungen aus.

Exploit-Kits vom Profi

Exploit-Kits für Malware fungieren als Vehikel für Drive-by-Downloads. Dabei handelt es sich um Profi-Software, die auf einem Server mit Datenbank-Backend liegt. Diese Kits sind über illegale Hacker-Sites erhältlich und mit Exploits für Sicherheitslücken verbreiteter Desktop-Applikationen ausgerüstet. Dazu gehören unter anderem Apple Quicktime Media Player, Adobe Flash Player, Adobe Reader, Real Networks Realplayer und Winzip.

Außerdem setzen die Angreifer Browser-spezifische Exploits ein. Diese nutzen Schwachstellen in gängigen Browsern aus, etwa Microsoft Internet Explorer, Mozilla Firefox, Apple Safari und Opera. Viele Exploit-Kits enthalten lediglich einen speziellen Angriffscode, der Sicherheitslücken in Adobe PDF oder bekannte Schwachstellen in ActiveX-Controls ausnutzt.


Inhalt eines Exploit-Kits: Wie an den Bezeichnungen MSxx-xxx deutlich wird, zielen solche Kits oft auf ältere Sicherheitslöcher, beim MS06-067 auf eines aus dem Jahr 2006.

Identitätsdiebe und andere Verfasser von Schadprogrammen kaufen diese Exploit-Kits und installieren sie auf einem manipulierten Server. Ein Code, der Internetaktivitäten auf diesen bösartigen Server umleitet, wird auf bestimmten Web-Sites platziert. Um User auf die infizierten Seiten zu locken, verschicken die Übeltäter ihre Links anschließend per Spam-Mails oder stellen sie in Internet-Foren.

Server identifiziert Browser und Betriebssystem

Ein Server mit einem Exploit-Kit ist in der Lage, über den HTTP-Request-Header sowohl Typ und Version des Browsers des Besuchers als auch das von ihm verwendete Betriebssystem zu bestimmen. Ist das Betriebssystem erst einmal ermittelt, kann das Exploit-Kit den passenden Exploit auswählen.

Manchmal können Web-Sites mehrere Exploits gleichzeitig versenden, die dann versuchen, einen Rechner über Sicherheitslücken in einer Anwendung zu manipulieren. Einige der weiter ausgereiften Exploits erhalten einen regelrechten Support und werden monatlich mit den neuesten Updates versehen.

Die Kits kommen mit einer gut aufgebauten Bedieneroberfläche, in der detaillierte Informationen über erfolgreiche Angriffe gespeichert sind. Diese Angaben reichen von erfolgreich angegriffenen Betriebssystemversionen über das Herkunftsland infizierter Rechner und das dabei verwendete Exploit bis hin zur Erfolgsquote der Exploits, die sich an der Besucherzahl einer manipulierten Web-Site bemisst.

Ungepatchte Monokultur

Die Grundlage für Drive-by-Downloads bilden Windows-Systeme, deren User es versäumt haben, Patches einzuspielen. Mit wenigen Ausnahmen richten sich die in Umlauf befindlichen Exploits gegen bekannte Sicherheitslücken, für die bereits Updates existieren.

Die automatischen Microsoft-Updates bieten Anwendern eine gute Möglichkeit, die Sicherheitslücken ihres Betriebssystems zu schließen. Anders sieht es jedoch bei Desktop-Applikationen von Fremdanbietern aus.

Secunia [3], ein Unternehmen, das sich auf die Identifizierung von Sicherheitslücken in Softwareprogrammen spezialisiert hat, schätzt, dass rund ein Drittel aller Desktop-Applikationen durch eine bekannte (gepatchte) Sicherheitsbedrohung gefährdet sind.


Ein kostenloses Online-Tool von Secunia prüft Rechner daraufhin, ob für aktuellen - und damit sicheren - Versionen von Anwendungen installiert sind. In diesem Fall nicht: Der Adobe Flash Player muss upgedatet werden.

Betrachtet man die vorhandenen Exploit-Kits, so entdeckt man diverse »alte« Sicherheitslücken wie MS06-014 und MS05-052, die auch Jahre nach Entwicklung des entsprechenden Patches in Umlauf sind. Die dritte und vierte Ziffer geben das Jahr an, in dem das Bulletin veröffentlicht wurde, beim MS06-014 etwa im Jahr 2006.

Die zielorientierten Exploit-Packages, die sich ausschließlich gegen Schwachstellen im Adobe PDF Reader richteten, waren trotz Verbesserungen des Security-Response-Prozesses von Adobe höchst erfolgreich. Der Adobe Flash Player, der auf nahezu allen internetfähigen Computern installiert ist, stellt ebenso wie der Real Player ein weiteres beliebtes Zielobjekt dar.

Tipps: Angriffe vermeiden

Die meisten Web-Browser, einschließlich Internet Explorer, Firefox und Opera, verfügen inzwischen über Malware-Blocker-Funktionen und ein Frühwarnsystem, das Benutzer vor kompromittierten Web-Sites warnt. Diese Malware-Blocker sind zwar von großem Vorteil, bieten Internet-Nutzern jedoch keinen hundertprozentigen Schutz, weil sie auf dem Prinzip von Blacklists basieren.

Auf solchen Listen sind »böse« Web-Sites aufgeführt, deren Besuch geblockt wird. Allerdings setzen Cyber-Kriminelle ständig neue Internet-Seiten auf, sodass die Blacklists immer wieder aktualisiert werden müssen.

Der beste Schutz vor Drive-by-Downloads besteht darin, dem Patch-Management der Sicherheitslösungen höchste Beachtung zu schenken. Anwender sollten insbesondere Folgendes tun:

• Eine Patch-Managementlösung verwenden, die sie beim Identifizieren und Aktualisieren aller Desktop-Applikationen von Fremdanbietern unterstützt. Secunia [3] bietet dafür mit dem »Personal Software Inspector« (PSI) und dem »Corporate Software Inspector« zwei Tools an, die ungepatchte Applikationen erkennen. PSI ist für private Anwender kostenlos. Zudem steht auf der Web-Seite von Secunia ein Online-Scanner zur Verfügung.

• einen Browser einsetzen, der Funktionen für Anti-Phishing und Anti-Malware enthält. Neben dem Microsoft Internet Explorer 7 und Mozilla Firefox 3.x bieten auch Opera, Safari und Google Chrome Sicherheitsfeatures zum Blocken manipulierter Web-Sites;

• eine Firewall aktivieren und sämtliche Updates für das Microsoft-Betriebssystem installieren. Auf Raubkopien, deren Update-Funktion durch die Windows-Echtheitsprüfung (WGA) deaktiviert wurde, sollte man verzichten;

• eine aktuelle Anti-Viren-/Anti-Malware-Software installieren, etwa Kaspersky Anti-Virus 2009 oder Internet Security 2009. Wichtig ist, dass die Datenbank der Lösung stets auf dem neuesten Stand gehalten wird. Das Antiviren-Programm sollte außerdem einen Browser-Traffic-Scanner bereitstellen, der Anwender beim Aufspüren pozentieller Probleme durch Drive-by-Downloads unterstützt.

Zusatzinformationen

Die Web-Seite Viruslist [5] von Kaspersky Lab [2] enthält Hintergrundinformationen zum Thema IT-Sicherheit, darunter White-Paper.

Hier noch der Link zum Google [7]-Technical-Report All Your iFRAMEs Point to Us [8] mit Informationen über Drive-by-Angriffe.

[1] http://www.scansafe.com/
[2] http://www.kaspersky.de/
[3] http://www.secunia.com/
[4] http://www.secunia.com/
[5] http://www.viruslist.com/de/analysis?pubid=200883646
[6] http://www.kaspersky.de/
[7] http://www.google.de/
[8] http://research.google.com/archive/provos-2008a.pdf