Dipl.-Inform. Carsten Eilers

Die Ausnutzung bekannter und behobener Schwachstellen kann man verhindern, indem das Betriebssystem und alle installierten Programme immer auf dem aktuellsten Stand gehalten werden. Für die meisten ausgenutzten Schwachstellen gibt es bereits Patches, die Angriffe sind also nur erfolgreich, weil die Benutzer diese nicht installiert haben. Wenn man davon ausgeht, dass die Cyberkriminellen kaum Exploits einsetzen werden, für die sie keine Opfer (mehr) finden, scheint es mit der Sicherheit vieler Systeme nicht all zu weit her zu sein. Denn warum sonst sollten die Cyberkriminellen Exploits für alte Schwachstellen entwickeln? Und wenn dann z.B. die britische Regierung der Meinung ist, der Internet Explorer 6 sei sicher genug, liefert das ein äußerst schlechtes Vorbild. Das Microsoft selbst vom IE abrät und ihn als unsicher einstuft, ist nach deren Ansicht wohl nur ein Marketinggag.

Für bekannte, aber bisher nicht gepatchte Schwachstellen gibt es evtl. Workarounds, die eine Ausnutzung der Schwachstelle verhindern oder zumindest erschweren. Vor der Ausnutzung von Schwachstellen in ActiveX-Controls schützt das Setzen des Kill-Bits für das betroffene ActiveX-Control, so dass es nicht mehr im Internet Explorer geladen wird.

Bekannte Angriffe abblocken

Die einschlägigen Sicherheitsprogramme wie Virenscanner auf dem Client oder Unified Thread Management Systeme zur Untersuchung des gesamten Netzwerkverkehrs erkennen bekannte Schädlinge anhand ihrer Signaturen, neue Schädlinge zum Teil im Rahmen einer verhaltensbasierten Analyse. Teilweise werden auch die verwendeten JavaScript- und HTML-Dateien als bösartig erkannt und ihre Ausführung auf bzw. Auslieferung an den Client unabhängig vom nachzuladenden Schadcode bereits im Vorfeld verhindert.

Google warnt vor Websites mit möglicherweise gefährlichen Inhalten in den Suchergebnissen, und auch einige Browser stellen entsprechende Funktionen bereit. Diese Warnung ist aber nicht wirklich zuverlässig. Nur, weil vor einer Website nicht gewarnt wird, bedeutet das nicht, dass nicht doch Schadcode enthalten sein kann. Als Beispiel sei an Seiten erinnert, die durch präparierte Werbung gefährlich werden. Die Werbung wechselt i.A. häufig, und nur, wenn der Google-Bot eine Seite mit präparierter Werbung entdeckt, wird die Website als möglicherweise gefährlich eingestuft.

Unbekannte Angriffe sind schwer zu stoppen

Besonders kritisch sind Angriffe mit 0-Day-Exploits, d.h. Exploits für Schwachstellen, die vor Veröffentlichung des Exploits nicht bekannt waren und für die es keinen Patch gibt. Zumindest am Anfang ihrer Verbreitung gibt es für sie auch keine Signaturen für die Virenscanner, so dass sie nur durch eine verhaltensbasierte Analyse erkannt werden können. Prominente Opfer eines solchen 0-Day-Exploits waren Google und weitere Unternehmen, denen im Dezember 2009 im Rahmen gezielter Angriffe über eine 0-Day-Schwachstelle im Internet Explorer Spyware untergeschoben wurde. Kurz darauf wurde die Schwachstelle bereits für Drive-by-Infektionen ausgenutzt - noch bevor sie behoben wurde.

Sicher oder im Web 2.0 surfen - nur eins von beiden geht

Eine absolut wirkungsvolle Gegenmaßnahme gegen die vorgestellten Angriffe gibt es: Ohne JavaScript sind sie nicht lauffähig. Werden JavaScript und andere aktive Inhalte deaktiviert, kann gefahrlos im Web gesurft werden. Oder in dem, was dann noch vom Web benutzbar ist, denn in Zeiten des Web 2.0 funktionieren die meisten Websites ohne JavaScript gar nicht oder nur unzureichend. Daher ist die sicherste Lösung allenfalls eine Notlösung. Eine Alternative sind Filter wie NoScript, mit denen sich JavaScript für bestimmte Domains freischalten oder sperren lässt, allerdings sind auch sie machtlos, wenn der Schadcode komplett auf einer vertrauenswürdigen Seite liegt, die JavaScript-Code ausführen darf.

Übrigens sind nicht nur Desktop-Rechner gefährdet, auch Smartphones droht Gefahr. Ein aktuelles Beispiel: Der "Drive-by-Jailbreak" für iOS 4 und iPhone OS 3.x, der sich nicht nur für einen gewollten Jailbreak, sondern auch für ungewollte Drive-by-Infektionen nutzen lässt.

Exkurs: Drive-by-Infektion analysieren

Bei der Analyse von Drive-by-Infektion helfen einige Online-Tools:
Flash-, JavaScript- und PDF-Dateien können von Wepawet analysiert werden. Die Dateien können sowohl heraufgeladen als auch als URL angegeben werden. Letzteres ist praktisch, wenn man eine verdächtige Website nicht selbst untersuchen möchte. Unbekannte Programmdateien kann Anubis (Analyzing Unknown Binaries) analysieren, auch hier ist wieder das Heraufladen einer Datei oder die Angabe einer URL möglich. Verdächtigen PDF-Dateien rückt Joedoc zu Leibe: Die per E-Mail eingereichten Dateien werden in einer Sandbox ausgeführt und der Ausführungspfad analysiert. Getarnter JavaScript-Code lässt sich mit jsunpack in lesbaren Code umwandeln. Zu guter Letzt sei noch VirusTotal erwähnt, wo man verdächtige Dateien und URLs einer Vielzahl von Virenscannern zur Analyse übergeben kann.

Damit ist das Thema "Drive-by-Infektionen" zumindest vorerst abgeschlossen. Thema ab der nächsten Folge sind neue und nicht ganz so neue Angriffe auf WLAN-Verbindungen.

Carsten Eilers

---

Übersicht über alle Artikel zum Thema

Drive-by-Infektionen - Gefahren drohen überall

Drive-by-Infektionen durch SQL-Injection vorbereitet

Drive-by-Infektionen: So kommt der Schadcode auf den Server

Drive-by-Infektionen - Vom Server auf den Client

Drive-by-Infektionen - Ein Blick auf die Exploits

Drive-by-Infektionen erkennen und abwehren

LizaMoon - Massenhack mit minimalen Folgen

Aktuelles: LizaMoon auf Apples iTunes-Seiten

Drive-by-Infektionen über präparierte Werbung