Drive-by-Infektionen über präparierte Werbung
Eigentlich wollte ich ab dieser Folge Aktualisierungen der älteren Grundlagen-Texte veröffentlichen, angefangen mit Clickjacking-Angriffen. Aus aktuellen Anlass geht es aber mit einem "Update" zu den Texten über Drive-by-Infektionen los: Über den Jahreswechsel 2013/2014 wurde ein Adserver von Yahoo kompromittiert, über den präparierte Anzeigen auf Yahoo eingeschleust wurden.
Angriffe über Adserver
Am 3. Januar hat Fox-IT
gemeldet,
dass es beim Besuch von yahoo.com
zu Drive-by-Infektionen
gekommen ist. Die Infektionen konnten zu einigen Werbeanzeigen
zurückverfolgt werden, die von ads.yahoo.com
bereitgestellt wurden.
Die bösartigen Anzeigen bestanden aus einem iframe, in dem das Exploit-Kit "Magnitude" geladen wurde. Das versuchte dann über Schwachstellen in älteren Java-Versionen Schadsoftware auf den Rechnern der Besucher zu installieren. Je nach Java-Version wurde der Schadcode schon bei der Anzeige der präparierten Werbung oder erst nach einem Klick darauf installiert.
Auffällig ist die Vielzahl der installierten Schädlinge: Es wurden unter anderem verschiedene Hintertüren, Software für Klickbetrug und der Onlinebanking-Trojaner Zeus installiert. Die Hintermänner des Angriffs scheinen also ihre Dienste im Rahmen eines "Pay-Per-Install" anderen Cyberkriminellen angeboten zu haben.
In diesem Fall waren nur Windows-Benutzer betroffen, weder für Mac OS X noch für Mobilgeräte waren Exploits vorhanden. Das ist aber nicht generell so. Für Mac OS X gab es bereits Drive-by-Infektionen "in the wild" (zum Beispiel Flashback), für Android gibt es zumindest einen Proof-of-Concept für eine ohne Benutzeraktion auskommende Drive-by-Infektion.
Aber kommen wir zurück zu Angriffen auf und über Adserver. Die haben für die Cyberkriminellen einen großen Vorteil: Wenn sie einen normalen Webserver kompromittieren und für Drive-by-Infektionen präparieren, erreichen sie damit "nur" die Benutzer dieses einen Servers. Je nachdem, wie gut besucht die entsprechende Website ist, können das schon sehr viele sein. Aber das sind immer noch lächerlich wenig im Vergleich zu einem Angriff auf einen Adserver: Wenn es den Cyberkriminellen gelingt, einen Werbeserver unter ihre Kontrolle zu bringen und die Anzeigen mit dem Code für Drive-by-Infektionen zu präparieren, erreichen sie damit die Benutzer aller Websites, die die entsprechende Werbung einblenden. Und das sind fast immer mehrere, meist gut besuchte Websites.
Es gibt den bekannten Spruch "Was ist der Einbruch in eine Bank im Vergleich zum Eröffnen einer Bank" aus Bertolt Brechts Dreigroschenoper - auf Drive-by-Infektionen abgewandelt könnte man sagen "Was ist das Präparieren eines Servers im Vergleich zur Kompromittierung eines Adservers, über den indirekt etliche Server präpariert werden können?".
Yahoo ist aktuell nicht das einzige Opfer: Am 7. Januar war die Website DailyMotion betroffen, dort wurde Scareware in Form von Fake-Virenscannern verbreitet. Vermutlich sind weitere Websites von diesem Angriff betroffen, da die präparierten Anzeigen von einem Ad-Netzwerk geladen werden.
Ein Beispiel für einen Angriff
Fraser Howard von Sophos hat im März 2012 einige Beispiele für manipulierte Anzeigen vorgestellt. Die Webseiten enthalten im Allgemeinen einen iframe, in den die Werbung geladen wird. Die präparierten Anzeigen enthalten JavaScript-Code, der einen weiteren iframe in die Seite einfügt, in den dann ein weiterer iframe geladen wird. Sind Sie jetzt verwirrt? Dann haben die Cyberkriminellen ihr Ziel ja zumindest teilweise erreicht, denn dieses mehrfache einbinden soll die Spuren verwischen, die der Angriff hinterlässt. Erst im letzten iframe wird dann der eigentliche Code zum Einschleusen des Schadcodes geladen, und da geht es dann weiter wie bereits zuvor von mir beschrieben.
Ein beliebtes Ziel: OpenX Adserver
OpenX Open-Source-Adserver sind ein beliebtes Angriffsziel, die bereits mehrfach entsprechend aufgefallen sind, zum Beispiel 2010, 2011, 2012 (s.o.) und 2013. Meist wurden Schwachstellen in der Adserver-Software ausgenutzt. Im August 2013 wurde dann auch noch eine Hintertür in den Download-Archiven der damals aktuellen Version 2.8.10 des Ad-Servers entdeckt, die evtl. schon seit November 2012 vorhanden war, nach ihrer Entdeckung aber zügig entfernt wurde. Generell ist es empfehlenswert, immer die aktuellste Version einzusetzen, denn da die Adserver für die Cyberkriminellen besonders interessant sind, dürften die regelmäßig nach ausnutzbaren Schwachstellen darin und darüber angreifbare Server suchen.
In der nächsten Folge gibt es weitere Hinweise zu Drive-by-Infektionen, denn kompromittierte Adserver sind nur ein möglicher Weg zur Verbreitung entsprechenden Codes. Die Cyberkriminellen können auch die Webanwendungen selbst kompromittieren und ihren Schadcode einschleusen.
Übersicht über alle Artikel zum Thema
- Drive-by-Infektionen - Gefahren drohen überall
- Drive-by-Infektionen durch SQL-Injection vorbereitet
- Drive-by-Infektionen: So kommt der Schadcode auf den Server
- Drive-by-Infektionen - Vom Server auf den Client
- Drive-by-Infektionen - Ein Blick auf die Exploits
- Drive-by-Infektionen erkennen und abwehren
- LizaMoon - Massenhack mit minimalen Folgen
- Aktuelles: LizaMoon auf Apples iTunes-Seiten
- Drive-by-Infektionen über präparierte Werbung
- Drive-by-Infektionen über kompromittierte Webanwendungen
Trackbacks
Dipl.-Inform. Carsten Eilers am : Eine neue 0-Day-Schwachstelle in MS Word ist auch über Outlook ausnutzbar
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Wie Wifi hackende Katzen mit Ransomware ein nicht tot zu kriegendes Botnet kapern. Oder so.
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Unsichere Router, unsichere Cloud, unsichere Werbung, unsicheres FBI... ja, ist denn gar nichts mehr sicher?
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Kommentare zum iCloud-Angriff, Heartbleed-Angriffen und Angriffen über Werbung
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Neues zu den 0-Day-Exploits, besonders bösartige Werbung und mehr
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Drucksache: windows.developer Magazin 12.2014 - JavaScript und die Sicherheit
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Neues eBook: "JavaScript Security - Sicherheit im Webbrowser"
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Einige kommentierte Updates zu älteren Artikeln
Vorschau anzeigen