Drive-by-Infektionen erkennen und abwehren
Das Erkennen und Abwehren von Drive-by-Infektionen bildet den Abschluss
dieses Themas. Der Benutzer bemerkt im Allgemeinen nichts von einer
Drive-by-Infektion. Evtl. stürzt irgendwann der Webbrowser oder eine
der Komponenten ab, die Schadsoftware selbst verhält sich aber meist
vollkommen unauffällig. Eine Ausnahme stellt dabei Scareware dar, die
den Benutzer durch die Warnung vor nicht vorhandenen Gefahren zum Kauf
eines Fake-Virenscanners verleiten soll. Auch den präparierten
Webseiten sieht man die Bedrohung i.A. nicht an. Falls ein iframe für
das Einschleusen des Schadcodes verwendet wird, wird er durch Verwenden
einer Höhe oder Breite von 0 vor dem Benutzer verborgen, die
script
-Tags fallen einem normalen Benutzer sowieso nicht auf.
Daher kann der Benutzer selbst fast nichts gegen die Angriffe unternehmen.
Wird das Fenster, in dem der bösartige JavaScript-Code läuft,
geschlossen, wird der Angriff zwar beendet, aber bis es dazu kommt ist es
i.A. schon zu spät und der Schadcode installiert. Der Benutzer muss
also schon im Vorfeld aktiv werden und vor allen Dingen ...
... bekannte Schwachstellen absichern
Die Ausnutzung bekannter und behobener Schwachstellen kann man verhindern, indem das Betriebssystem und alle installierten Programme immer auf dem aktuellsten Stand gehalten werden. Für die meisten ausgenutzten Schwachstellen gibt es bereits Patches, die Angriffe sind also nur erfolgreich, weil die Benutzer diese nicht installiert haben. Wenn man davon ausgeht, dass die Cyberkriminellen kaum Exploits einsetzen werden, für die sie keine Opfer (mehr) finden, scheint es mit der Sicherheit vieler Systeme nicht all zu weit her zu sein. Denn warum sonst sollten die Cyberkriminellen Exploits für alte Schwachstellen entwickeln? Und wenn dann z.B. die britische Regierung der Meinung ist, der Internet Explorer 6 sei sicher genug, liefert das ein äußerst schlechtes Vorbild. Das Microsoft selbst vom IE abrät und ihn als unsicher einstuft, ist nach deren Ansicht wohl nur ein Marketinggag.
Für bekannte, aber bisher nicht gepatchte Schwachstellen gibt es evtl. Workarounds, die eine Ausnutzung der Schwachstelle verhindern oder zumindest erschweren. Vor der Ausnutzung von Schwachstellen in ActiveX-Controls schützt das Setzen des Kill-Bits für das betroffene ActiveX-Control, so dass es nicht mehr im Internet Explorer geladen wird.
Bekannte Angriffe abblocken
Die einschlägigen Sicherheitsprogramme wie Virenscanner auf dem Client oder Unified Thread Management Systeme zur Untersuchung des gesamten Netzwerkverkehrs erkennen bekannte Schädlinge anhand ihrer Signaturen, neue Schädlinge zum Teil im Rahmen einer verhaltensbasierten Analyse. Teilweise werden auch die verwendeten JavaScript- und HTML-Dateien als bösartig erkannt und ihre Ausführung auf bzw. Auslieferung an den Client unabhängig vom nachzuladenden Schadcode bereits im Vorfeld verhindert.
Google warnt vor Websites mit möglicherweise gefährlichen Inhalten in den Suchergebnissen, und auch einige Browser stellen entsprechende Funktionen bereit. Diese Warnung ist aber nicht wirklich zuverlässig. Nur, weil vor einer Website nicht gewarnt wird, bedeutet das nicht, dass nicht doch Schadcode enthalten sein kann. Als Beispiel sei an Seiten erinnert, die durch präparierte Werbung gefährlich werden. Die Werbung wechselt i.A. häufig, und nur, wenn der Google-Bot eine Seite mit präparierter Werbung entdeckt, wird die Website als möglicherweise gefährlich eingestuft.
Unbekannte Angriffe sind schwer zu stoppen
Besonders kritisch sind Angriffe mit 0-Day-Exploits, d.h. Exploits für Schwachstellen, die vor Veröffentlichung des Exploits nicht bekannt waren und für die es keinen Patch gibt. Zumindest am Anfang ihrer Verbreitung gibt es für sie auch keine Signaturen für die Virenscanner, so dass sie nur durch eine verhaltensbasierte Analyse erkannt werden können. Prominente Opfer eines solchen 0-Day-Exploits waren Google und weitere Unternehmen, denen im Dezember 2009 im Rahmen gezielter Angriffe über eine 0-Day-Schwachstelle im Internet Explorer Spyware untergeschoben wurde. Kurz darauf wurde die Schwachstelle bereits für Drive-by-Infektionen ausgenutzt - noch bevor sie behoben wurde.
Sicher oder im Web 2.0 surfen - nur eins von beiden geht
Eine absolut wirkungsvolle Gegenmaßnahme gegen die vorgestellten Angriffe gibt es: Ohne JavaScript sind sie nicht lauffähig. Werden JavaScript und andere aktive Inhalte deaktiviert, kann gefahrlos im Web gesurft werden. Oder in dem, was dann noch vom Web benutzbar ist, denn in Zeiten des Web 2.0 funktionieren die meisten Websites ohne JavaScript gar nicht oder nur unzureichend. Daher ist die sicherste Lösung allenfalls eine Notlösung. Eine Alternative sind Filter wie NoScript, mit denen sich JavaScript für bestimmte Domains freischalten oder sperren lässt, allerdings sind auch sie machtlos, wenn der Schadcode komplett auf einer vertrauenswürdigen Seite liegt, die JavaScript-Code ausführen darf.
Übrigens sind nicht nur Desktop-Rechner gefährdet, auch Smartphones droht Gefahr. Ein aktuelles Beispiel: Der "Drive-by-Jailbreak" für iOS 4 und iPhone OS 3.x, der sich nicht nur für einen gewollten Jailbreak, sondern auch für ungewollte Drive-by-Infektionen nutzen lässt.
Exkurs: Drive-by-Infektion analysieren
Bei der Analyse von Drive-by-Infektion helfen einige Online-Tools:
Flash-, JavaScript- und PDF-Dateien können von
Wepawet
analysiert werden. Die Dateien können sowohl heraufgeladen als auch als
URL angegeben werden. Letzteres ist praktisch, wenn man eine verdächtige
Website nicht selbst untersuchen möchte. Unbekannte Programmdateien kann
Anubis
(Analyzing Unknown Binaries) analysieren, auch hier ist wieder das
Heraufladen einer Datei oder die Angabe einer URL möglich.
Verdächtigen PDF-Dateien rückt
Joedoc
zu Leibe: Die per E-Mail eingereichten Dateien werden in einer Sandbox
ausgeführt und der Ausführungspfad analysiert. Getarnter JavaScript-Code
lässt sich mit
jsunpack
in lesbaren Code umwandeln. Zu guter Letzt sei noch
VirusTotal
erwähnt, wo man verdächtige Dateien und URLs einer Vielzahl von
Virenscannern zur Analyse übergeben kann.
Damit ist das Thema "Drive-by-Infektionen" zumindest vorerst abgeschlossen. Thema ab der nächsten Folge sind neue und nicht ganz so neue Angriffe auf WLAN-Verbindungen.
Übersicht über alle Artikel zum Thema
- Drive-by-Infektionen - Gefahren drohen überall
- Drive-by-Infektionen durch SQL-Injection vorbereitet
- Drive-by-Infektionen: So kommt der Schadcode auf den Server
- Drive-by-Infektionen - Vom Server auf den Client
- Drive-by-Infektionen - Ein Blick auf die Exploits
- Drive-by-Infektionen erkennen und abwehren
- LizaMoon - Massenhack mit minimalen Folgen
- Aktuelles: LizaMoon auf Apples iTunes-Seiten
- Drive-by-Infektionen über präparierte Werbung
Trackbacks
www.supernature-forum.de am : PingBack
Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.