Sicherheit: Attacken über Web-Seiten: Hintergrundwissen: Wie Drive-by-Angriffe funktionieren

Die Drive-by-Attacke ist heute eine der besten Waffen im Arsenal von Cyber-Kriminellen. Dabei werden Internet-User auf eine Web-Seite gelotst, auf der die Angreifer Malware platziert haben. Diese nutzt Sicherheitslücken im Browser und Betriebssystem des Besuchers aus, um dessen Rechner zu kapern. Ein Experte der IT-Sicherheitsfirma Kaspersky Lab zeigt, wie solche Drive-by-Angriffe ablaufen und wie man sich dagegen schützen kann.

Die meisten Heimanwender und viele Unternehmensmitarbeiter haben keine Ahnung davon, wie viele Kommunikationsprozesse im Hintergrund ablaufen, wenn Web-Browser mit Desktop-Applikationen, auf einem PC gespeicherten Daten und Web-Servern interagieren.


E-Mail ist out: Malware wird laut Kaspersky über andere Medien wie
Instant-Messaging und Web-Browser übertragen.

Leider haben auch Malware-Lieferanten diese Prozesse für sich entdeckt. Sie nutzen das Web, um Viren, Spyware, Trojaner, Rootkits und gefälschte Sicherheitsprogramme zu verbreiten. Hersteller von Antivirensoftware bezeichnen das unwissentliche Herunterladen von Malware als »Drive-by-Download«.

Ein solcher Vorgang geschieht, ohne dass der Anwender etwas davon mitbekommt. Sein Rechner infiziert sich, indem er eine präparierte Web-Site besucht. Die Verbreitung von Drive-by-Malware stellt für Cyber-Kriminelle einen großen Reiz dar, weil es sich um eine unauffällige und effiziente Art der Infektion handelt.

Nach Angaben der Sicherheitsfirma Scansafe wurden 74 Prozent der Schadsoftware, die im dritten Quartal 2008 auftrat, über gehackte oder Malware-Autoren aufgesetzte Web-Seiten verteilt.

Klassische Wurmangriffe funktionieren nicht mehr

Um die dramatische Verschiebung hin zur Nutzung von Web-Browsern als Angriffsinstrument verstehen zu können, sollte man sich die größten Internet-basierten Computerangriffe ansehen. Während der »Internet-Wurm-Ära« richteten Schädlinge wie Code Red, Blaster, Slammer und Sasser in Unternehmensnetzwerken verheerenden Schaden an. Dazu verwendeten Hacker Remote-Exploits für Sicherheitslücken im Windows-Betriebssystem.

Bei einem Remote-Exploit befindet sich das Schadprogramm auf einem Netzwerkserver und nutzt eine Sicherheitslücke auf dem Rechner des Anwenders aus – ohne jedoch vorher einen Zugriff auf diesen Rechner anzufordern. Zudem wurden schädliche Programme wie »Melissa« an E-Mail-Nachrichten angehängt oder über Instant Messaging oder Peer-to-Peer-Verbindungen übertragen.

Microsoft reagierte erfolgreich auf diese Wurmangriffe. Windows XP wurde mit dem Service Pack 2 um eine Firewall ergänzt, die standardmäßig gestartet wird. Zudem implementierte der Hersteller verschiedene Mechanismen im Betriebssystem, die Würmer »entschärfen«.

Mit den automatischen Windows-Updates erhielten Anwender außerdem Unterstützung gegen Malware, vorausgesetzt, sie installieren die Patches regelmäßig. Dass dies auch heute nicht immer der Fall ist, zeigt das Beispiel von »Conficker«. Diese Schadsoftware nutzt eine Sicherheitslücke der RPC-Funktion von Windows. Microsoft brachte bereits im Oktober 2008 einen Patch heraus. Dennoch infizierten sich bis Anfang April schätzungsweise 10 Millionen Windows-Systeme mit Conficker.

Übersicht