Skip to content

Drive-by-Infektionen über präparierte Werbung

Geschrieben von Carsten Eilers am um 16:09

Eigentlich wollte ich ab dieser Folge Aktualisierungen der älteren Grundlagen-Texte veröffentlichen, angefangen mit Clickjacking-Angriffen. Aus aktuellen Anlass geht es aber mit einem "Update" zu den Texten über Drive-by-Infektionen los: Über den Jahreswechsel 2013/2014 wurde ein Adserver von Yahoo kompromittiert, über den präparierte Anzeigen auf Yahoo eingeschleust wurden.

Angriffe über Adserver

Am 3. Januar hat Fox-IT gemeldet, dass es beim Besuch von yahoo.com zu Drive-by-Infektionen gekommen ist. Die Infektionen konnten zu einigen Werbeanzeigen zurückverfolgt werden, die von ads.yahoo.com bereitgestellt wurden.

Die bösartigen Anzeigen bestanden aus einem iframe, in dem das Exploit-Kit "Magnitude" geladen wurde. Das versuchte dann über Schwachstellen in älteren Java-Versionen Schadsoftware auf den Rechnern der Besucher zu installieren. Je nach Java-Version wurde der Schadcode schon bei der Anzeige der präparierten Werbung oder erst nach einem Klick darauf installiert.

Auffällig ist die Vielzahl der installierten Schädlinge: Es wurden unter anderem verschiedene Hintertüren, Software für Klickbetrug und der Onlinebanking-Trojaner Zeus installiert. Die Hintermänner des Angriffs scheinen also ihre Dienste im Rahmen eines "Pay-Per-Install" anderen Cyberkriminellen angeboten zu haben.

In diesem Fall waren nur Windows-Benutzer betroffen, weder für Mac OS X noch für Mobilgeräte waren Exploits vorhanden. Das ist aber nicht generell so. Für Mac OS X gab es bereits Drive-by-Infektionen "in the wild" (zum Beispiel Flashback), für Android gibt es zumindest einen Proof-of-Concept für eine ohne Benutzeraktion auskommende Drive-by-Infektion.

Aber kommen wir zurück zu Angriffen auf und über Adserver. Die haben für die Cyberkriminellen einen großen Vorteil: Wenn sie einen normalen Webserver kompromittieren und für Drive-by-Infektionen präparieren, erreichen sie damit "nur" die Benutzer dieses einen Servers. Je nachdem, wie gut besucht die entsprechende Website ist, können das schon sehr viele sein. Aber das sind immer noch lächerlich wenig im Vergleich zu einem Angriff auf einen Adserver: Wenn es den Cyberkriminellen gelingt, einen Werbeserver unter ihre Kontrolle zu bringen und die Anzeigen mit dem Code für Drive-by-Infektionen zu präparieren, erreichen sie damit die Benutzer aller Websites, die die entsprechende Werbung einblenden. Und das sind fast immer mehrere, meist gut besuchte Websites.

Es gibt den bekannten Spruch "Was ist der Einbruch in eine Bank im Vergleich zum Eröffnen einer Bank" aus Bertolt Brechts Dreigroschenoper - auf Drive-by-Infektionen abgewandelt könnte man sagen "Was ist das Präparieren eines Servers im Vergleich zur Kompromittierung eines Adservers, über den indirekt etliche Server präpariert werden können?".

Yahoo ist aktuell nicht das einzige Opfer: Am 7. Januar war die Website DailyMotion betroffen, dort wurde Scareware in Form von Fake-Virenscannern verbreitet. Vermutlich sind weitere Websites von diesem Angriff betroffen, da die präparierten Anzeigen von einem Ad-Netzwerk geladen werden.

Ein Beispiel für einen Angriff

Fraser Howard von Sophos hat im März 2012 einige Beispiele für manipulierte Anzeigen vorgestellt. Die Webseiten enthalten im Allgemeinen einen iframe, in den die Werbung geladen wird. Die präparierten Anzeigen enthalten JavaScript-Code, der einen weiteren iframe in die Seite einfügt, in den dann ein weiterer iframe geladen wird. Sind Sie jetzt verwirrt? Dann haben die Cyberkriminellen ihr Ziel ja zumindest teilweise erreicht, denn dieses mehrfache einbinden soll die Spuren verwischen, die der Angriff hinterlässt. Erst im letzten iframe wird dann der eigentliche Code zum Einschleusen des Schadcodes geladen, und da geht es dann weiter wie bereits zuvor von mir beschrieben.

Ein beliebtes Ziel: OpenX Adserver

OpenX Open-Source-Adserver sind ein beliebtes Angriffsziel, die bereits mehrfach entsprechend aufgefallen sind, zum Beispiel 2010, 2011, 2012 (s.o.) und 2013. Meist wurden Schwachstellen in der Adserver-Software ausgenutzt. Im August 2013 wurde dann auch noch eine Hintertür in den Download-Archiven der damals aktuellen Version 2.8.10 des Ad-Servers entdeckt, die evtl. schon seit November 2012 vorhanden war, nach ihrer Entdeckung aber zügig entfernt wurde. Generell ist es empfehlenswert, immer die aktuellste Version einzusetzen, denn da die Adserver für die Cyberkriminellen besonders interessant sind, dürften die regelmäßig nach ausnutzbaren Schwachstellen darin und darüber angreifbare Server suchen.

In der nächsten Folge gibt es weitere Hinweise zu Drive-by-Infektionen, denn kompromittierte Adserver sind nur ein möglicher Weg zur Verbreitung entsprechenden Codes. Die Cyberkriminellen können auch die Webanwendungen selbst kompromittieren und ihren Schadcode einschleusen.

Carsten Eilers

Übersicht über alle Artikel zum Thema

Drive-by-Infektionen - Gefahren drohen überall
Drive-by-Infektionen durch SQL-Injection vorbereitet
Drive-by-Infektionen: So kommt der Schadcode auf den Server
Drive-by-Infektionen - Vom Server auf den Client
Drive-by-Infektionen - Ein Blick auf die Exploits
Drive-by-Infektionen erkennen und abwehren
LizaMoon - Massenhack mit minimalen Folgen
Aktuelles: LizaMoon auf Apples iTunes-Seiten
Drive-by-Infektionen über präparierte Werbung
Drive-by-Infektionen über kompromittierte Webanwendungen

Trackbacks

Dipl.-Inform. Carsten Eilers am : Eine neue 0-Day-Schwachstelle in MS Word ist auch über Outlook ausnutzbar

Vorschau anzeigen
Es gibt schon wieder eine neue 0-Day-Schwachstelle, die fünfte in diesem Jahr. Diesmal befindet sich die Schwachstelle in MS Word, sie kann aber auch über die Vorschau in Outlook ausgenutzt werden. Microsoft warnt vor Angriffen

Dipl.-Inform. Carsten Eilers am : Kommentare zum iCloud-Angriff, Heartbleed-Angriffen und Angriffen über Werbung

Vorschau anzeigen
Heute gibt es mal wieder Kommentare zu neuen Entwicklungen bei altbekannten Problemen. Los geht es mit einem nicht besonders alten Problem, den aus der iCloud geklauten Promi-Nacktfotos: Die iCloud wurde nicht angegriffen, nur ihre Nutzer!

Dipl.-Inform. Carsten Eilers am : Neues zu den 0-Day-Exploits, besonders bösartige Werbung und mehr

Vorschau anzeigen
Es gibt Neues zu den von Microsofts am Oktober-Patchday behobenen 0-Day-Schwachstellen, es wurde besonders bösartige Werbung entdeckt, und dann gibt es da noch ein paar widersprüchliche Meldungen. Ach so, und was die Nutzung von Fake-

Dipl.-Inform. Carsten Eilers am : Drucksache: windows.developer Magazin 12.2014 - JavaScript und die Sicherheit

Vorschau anzeigen
Im windows.developer 12.2014 ist ein Artikel über Angriffe zur Sicherheit von JavaScript erschienen. Darin geht es um zwei Themen: Zum einen um einige neue bzw. verbesserte Angriffe, die auf den Sicherheitskonferenzen vorgestellt wurden. Zu

Dipl.-Inform. Carsten Eilers am : Neues eBook: "JavaScript Security - Sicherheit im Webbrowser"

Vorschau anzeigen
Bei entwickler.press ist mein eBook über die Sicherheit von JavaScript erschienen: "JavaScript Security - Sicherheit im Webbrowser" Wie der Name schon sagt geht es um die Sicherheit von JavaScript (und HTML5, dass ja viele neue JavaSc

Dipl.-Inform. Carsten Eilers am : Einige kommentierte Updates zu älteren Artikeln

Vorschau anzeigen
Heute gibt es mal wieder einige kommentierte Ergänzungen zu älteren Artikeln. 0-Day-Exploit für ein NAS, aber der Patch hat Zeit? Voriges Jahr gab es die erste Ransomware für Synology NAS. Und die nutzte eine Schwachstelle