Drive-by-Downloads oder wie man sich bei einem Website-Besuch Malware einfängt

Microsoft calling_ Mind the tech support scammer

Es gibt viele Möglichkeiten, wie Malware auf Ihr System gelangen kann. In den meisten Fällen ist dazu eine Aktion des Benutzers erforderlich, etwa das Öffnen eines bösartigen Anhangs oder das Ausführen einer .exe-Datei von einer zweifelhaften Quelle im Internet.

Mitunter können Sie sich eine Malware-Infektion auch einfangen, ohne eine Datei zu öffnen oder etwas Schädliches herunterzuladen. In diesen Fällen reicht der schlichte Besuch einer Website.

Heute erklären wir Ihnen, wie genau sogenannte Drive-by-Downloads funktionieren und wie Sie sich vor dieser Bedrohung schützen können.

Was ist ein Drive-by-Download?

Ein Drive-by-Download findet statt, wenn schädliche Software ohne Ihr Einverständnis auf Ihr Gerät heruntergeladen wird. Im Gegensatz zu anderen Malware-Arten, die den Benutzer meistens durch einen Trick dazu bringen, auf einen schädlichen Link zu klicken oder eine bösartige Datei herunterzuladen, können Drive-by-Downloads auch ohne weitere Aktion seitens des Benutzers auftreten. Sie erfolgen auf Websites, die von den Angreifern betrieben werden oder von ihnen kompromittiert wurden, sowie über bösartige Werbeanzeigen, die auf anderenfalls sicheren Seiten angezeigt werden.

Kurz gesagt: Ja, man kann sich Malware beim schlichten Besuch einer Website einfangen.

Die meisten Drive-by-Downloads nutzen dazu bekannte Schwachstellen in Ihrem Betriebssystem, dem Browser und den Browser-Plug-ins aus. Diese Sicherheitslücken gibt es meistens jedoch nur durch unzureichende Cybersicherheitsmaßnahmen. Viele Unternehmen und Privatanwender verschieben die Installation von wichtigen Sicherheitspatches, was wiederum Angreifern die Möglichkeit gibt, die anderenfalls damit gestopften Sicherheitslücken auszunutzen.

Was ist ein Exploit-Kit?

Bei Drive-by-Downloads kommt häufig auch ein Exploit-Kit zum Einsatz. Dabei handelt es sich um eine gebündelte Sammlung von Exploit-Trojanern, die versuchen, das Ziel automatisch über eine Vielzahl verschiedener Angriffsmethoden zu infizieren.

Exploit-Kits sind auf leichte Anwendbarkeit ausgelegt und verfügen häufig über Funktionen wie eine Management-Konsole, Add-ons und technischen Support, die es selbst Cyberkriminellen mit wenig technischem Hintergrundwissen ermöglichen, einen derartigen Angriff durchzuführen. Die Entwickler dieser Exploit-Kits erzielen mit deren Verleih an andere Kriminelle (auch als Exploit-Kits-as-a-Service bezeichnet) mitunter ansehnliche Gewinne. Die gefragtesten Exploit-Kits können Tausende Dollar pro Monat kosten.

Die meisten modernen Exploit-Kits scannen das Betriebssystem, die IP-Adresse, den Browser, die Plug-ins und andere Systemeigenschaften des Website-Besuchers auf Schwachstellen, die ausgenutzt werden könnten. Je nach gefundener Sicherheitslücke wird dann automatisch eine Angriffsmethode ausgewählt und eine Folge von Ereignissen ausgelöst, um den schädlichen Payload bereitzustellen.

Wie funktionieren Drive-by-Downloads?

Ein typischer Drive-by-Download läuft in der Regel wie folgt ab:

1. Bereitstellung des Exploit-Kits: Angreifer stellen das Exploit-Kit auf einem eigenen Server, auf einer von ihnen kompromittieren Website oder über Werbedienste für Dritte bereit.

2. Kontakt: Um die schädlichen Inhalte zu verbreiten, müssen die Werbetreibenden dafür sorgen, dass die Zielseite des Exploit-Kits viel besucht wird. Die zum Erzeugen dieses Traffics eingesetzte Methode hängt davon ab, wo der Exploit-Trojaner bereitgestellt wird:

3. Fingerabdruck: Ruft ein Besucher die Zielseite des Exploit-Kits auf, analysiert es den Fingerabdruck des Geräts auf mögliche Schwachstellen in der Software des Benutzers, um herauszufinden, ob er ein geeignetes Ziel ist.

4. Ausnutzung: Wird der Besucher als geeignetes Ziel eingestuft, nutzt das Exploit-Kit automatisch die entdeckte Schwachstelle aus, um den Drive-by-Download einzuleiten. Besucher, bei denen keine geeigneten Sicherheitslücken gefunden wurden, werden ignoriert oder auf eine andere Zielseite umgeleitet, die dann Social-Engineering-Taktiken einsetzt, um ihn dennoch zum Herunterladen der Malware zu überlisten.

5. Ausführung: Die schädliche Datei wird ausgeführt. Meistens ist dies ein mehrstufiger Angriff, bei dem der ursprüngliche Drive-by-Download genutzt wird, um andere Arten von Malware bereitzustellen. In der Regel werden auch Methoden der Obfuskation eingesetzt, damit der Angriff nicht erkannt wird.

Welche Arten von Malware können bei einem Drive-by-Download installiert werden?

Angreifer nutzen Drive-by-Downloads, um sich Kontrolle über ein Gerät zu verschaffen. Da für diese Art des Angriffs keine Aktion seitens des Anwenders erforderlich ist, sind sie für die Kriminellen ein wirksames Mittel, um Zugriff auf ein Gerät zu erhalten und über die Erstinfektion weitere bösartige Aktivitäten durchzuführen.

Welche Art von Malware heruntergeladen wird, hängt vom Zweck des Angriffs ab. Mitunter ist der Drive-by-Download schon das Ziel. In anderen Fällen ist er schlicht der erste Schritt eines mehrstufigen Angriffs, mit dem sich Cyberkriminelle Zugang zum anvisierten System verschaffen, bevor sie zur nächsten Phase übergehen.

Drive-by-Downloads können also zur Bereitstellung nahezu jeder Art von Malware genutzt werden, einschließlich Ransomware, Keyloggern und Backdoors.

So schützt Sie Emsisoft vor Drive-by-Downloads

Wenn Sie Emsisoft-Nutzer sind, können Sie ganz entspannt bleiben. Eine Reihe leistungsstarker Schutztechnologien, die eng ineinander greifen, sorgt dafür, dass Sie vollständig vor Drive-by-Downloads und anderen Online-Bedrohungen geschützt sind.

Nach außen hin sorgen der Internetschutz und Emsisoft Browser Security mithilfe einer großen und ständig aktualisierten Datenbank schädlicher Hosts dafür, dass Sie nicht auf schädliche Websites zugreifen. Sollten Sie dennoch auf der Zielseite eines Exploit-Kits landen, fängt unsere Verhaltensanalyse den Exploit-Versuch ab und unterbindet das Ausführen von heruntergeladenen Dateien – selbst von Schädlingen, die bisher noch nicht beobachtet wurden. Unser Dateiwächter blockiert darüber hinaus Drive-by-Downloads, die eine bekannte Signatur haben.

Durch eine mehrschichtige Sicherheitsstrategie bieten sich etliche Gelegenheiten, Drive-by-Downloads zu neutralisieren, bevor sie Änderungen an Ihrem Gerät vornehmen können.

Weitere Tipps zum Vorbeugen von Drive-by-Downloads

Mit den folgenden Maßnahmen können Sie das Risiko eines derartigen Angriffs senken:

1. Sicherheitsupdates zeitnah installieren: Wie bereits angesprochen nutzen Drive-by-Downloads bekannte Sicherheitslücken aus. Minimieren Sie dieses Risiko, indem Sie Sicherheitsupdates für Ihren Browser und dessen Erweiterungen, das Betriebssystem und alle anderen Anwendungen installieren, sobald die Patches bereitgestellt werden.

2. Fragwürdige Websites vermeiden: Auch wenn Sie theoretisch überall im Internet auf Drive-by-Downloads stoßen können, ist die Wahrscheinlichkeit eines Angriffs auf einer Website für Raubkopien oder nicht jugendfreie Inhalte höher. Reduzieren Sie das Risiko, indem Sie sich an vertrauenswürdige und etablierte Websites halten.

3. Nicht genutzte Anwendungen entfernen: Indem Sie Ihre Angriffsoberfläche minimieren, senken Sie auch das Risiko einer Infektion. Nehmen Sie sich ein paar Minuten Zeit, um Ihre Anwendungen und Browser-Erweiterungen durchzugehen und alles zu deinstallieren, das Sie nur selten verwenden oder Ihnen unbekannt erscheint. Insbesondere Anwendungen, für die keine Updates mehr veröffentlicht werden, stellen ein Sicherheitsrisiko dar und sollten entfernt werden.

4. Auf Phishing achten: Mitunter nutzen Angreifer Phishing, um Opfer auf die Zielseite des Exploit-Kits zu locken. Machen Sie sich mit Phishing-Methoden vertraut, bleiben Sie skeptisch bei unerwartet zugesendeten E-Mails, die Sie zu etwas drängen wollen, und überprüfen Sie immer jede URL genau, bevor Sie darauf klicken. In diesem Blog-Artikel finden Sie weitere Informationen dazu, wie Sie Phishing-Angriffen vorbeugen.

5. Werbeblocker verwenden: Drive-by-Downloads werden häufig über Werbenetzwerke verbreitet. Diese Angriffsmethode können Sie durch die Installation eines namhaften Werbeblockers stoppen.

Fazit

Es ist leider wahr, dass Sie sich Malware auch durch den simplen Besuch einer Website einfangen können. Mithilfe von Exploit-Kits auf bösartigen oder kompromittierten Websites lösen Angreifer einen Drive-by-Download aus, der dann die Malware bereitstellt, ohne dass Sie auch nur zur Maus oder Tastatur gegriffen haben.

Indem Sie Ihre Anwendungen auf dem neuesten Stand halten, eine gute Antivirus-Software einsetzen, einen Werbeblocker installieren und auf Phishing-Versuche achten, können Sie Ihr Risiko, Opfer eines derartigen Angriffs zu werden, jedoch erheblich reduzieren.

 

Übersetzung: Doreen Schäfer

Jareth

Jareth

Freier Schriftsteller und Sicherheits-Enthusiast in Auckland, Neuseeland.

Weitere Artikel

Leserkommentare