Schutz vor Drive-by-Angriffen

Wie einfach ist die Welt für Angreifer doch heute: Wo früher mühsam Firewalls und andere Schutzeinrichtungen überwunden werden mussten, genügt es heute, die Benutzer hinter der Firewall auf einen mit Malware präparierten Webserver zu locken. Das gelingt ganz leicht, indem man entsprechende Links per E-Mail, SMS oder Instant Messenger verschickt. Die Kontaktdaten der potenziellen Opfer lassen sich meist problemlos über soziale Netzwerke, etwa Xing, ausfindig machen. Und auch QR-Codes eignen sich bestens zum Verteilen von Malware-Links, schließlich sieht der Benutzer dem Code nicht an, wohin dieser sein Smartphone führt.

Die größte Schwachstelle – gleich nach dem Benutzer – stellt heute aber das auf jedem Arbeitsplatz und mobilen Gerät installierte Web-2.0-Instrumentarium dar, bestehend aus Webbrowser und zahlreichen Plugins wie beispielsweise dem Flashplayer, Java und Adobe Reader. Browser oder Plugins enthalten praktisch immer Sicherheitslücken, die mit speziellen auf dem Webserver installierten Angriffstools dann ausnutzbar sind. Ziel ist es, den Client mit Malware zu infizieren, um ihn als Brückenkopf für den Zugang zu anderen Ressourcen im Netzwerk zu missbrauchen oder um ihn einem Bot-Netz hinzuzufügen. Die Ausnutzung der Sicherheitslücke erfolgt dabei in der Regel völlig transparent und vom Benutzer unbemerkt – sozusagen im Vorbeigehen. Daher auch der Name: Drive-by-Download. Nach Einschätzung der ENISA (European Network and Information Security Agency) und des IT-Branchenverbandes BITKOM, geht von Drive-by-Downloads derzeit die größte Bedrohung im Internet überhaupt aus. Ausführliche Details dazu finden sich im Report "ENISA Threat Landscape", erhältlich unter [3].

Heillos unsicher

Geradezu legendär sind inzwischen die Sicherheitslücken in der Java-Laufzeitumgebung und damit auch im Java-Plugin für den Webbrowser: Seit fast einem Jahr kommt Java praktisch nicht mehr aus den Schlagzeilen. Kaum liefert der Hersteller Oracle ein Sicherheitsupdate für Java, wird auch schon die nächste Sicherheitslücke bekannt – und sofort ausgenutzt. Das bestätigt auch eine Studie von Websense aus dem März 2013. Sie kommt zu dem Ergebnis, dass rund 94 Prozent aller installierten Java-Plugins nicht auf dem neuesten Stand sind [1]. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt daher schon länger, Java im Browser zu deaktivieren oder besser gleich vollständig zu deinstallieren [2].

Drive-by-Spam

Analog zum Drive-by-Download kursiert zwischenzeitlich auch Drive-by-Spam, der den Computer auch ohne Umweg über den Webbrowser mit Schadcode infizieren kann. Drive-by-Spam-E-Mails kommen in der Regel im HTML-Format daher, der Schadcode wird dann mit Hilfe von Javascript bereits während der Vorschauanzeige im E-Mail-Programm auf dem Client nachgeladen.

Anders als bei klassischer E-Mail-Malware und Phishing-E-Mails, muss der Benutzer hier also weder ein Attachment öffnen oder ausführen. Er muss auch nicht aktiv auf einen Link klicken. Stattdessen wird die Malware schon durch bloßes Öffnen der Nachricht im E-Mail-Programm aktiviert.

Wo immer möglich sollte daher die Vorschauanzeige von HTML-Nachrichten im E-Mail-Client deaktivert werden. Dass diese Angriffsmethode derzeit sehr populär ist, belegt nicht zuletzt eine Statistik des Managed-E-Mail-Security-Anbieters Eleven vom Oktober 2012. Nach Erkenntnissen von Eleven verlinkt heute bereits jede zehnte Spam-E-Mail auf Malware [4].

Als Ausgangsbasis benötigt der Angreifer zunächst einen Webserver. Diesen mietet er entweder selbst bei einem der zahlreichen Hosting-Anbieter oder in der Cloud an oder er schleust seinen Code über gehackte FTP-Zugangsdaten oder über Sicherheitslücken in einer Webapplikation eines bestehenden und möglichst attraktiven Webangebots ein. Letzteres erfordert auf Seiten des Angreifers zwar einen höheren Skill-Level, denn zunächst müssen die Schwachstellen in der Webapplikation ja identifiziert und ausgenutzt werden. Aber der Aufwand lohnt sich, denn je nach Attraktivitiät und Bekanntheitsgrad des Webangebots, lassen sich auf diese Weise natürlich wesentlich schneller viele Opfer finden – zumal infizierte Websites zwischenzeitlich auch durch SEO-Poisoning (Suchmaschinenoptimierung für die optimale Platzierung von Malware-Sites) schnell weit oben in den Suchergebnissen von Google & Co auftauchen.