Drive-By: Die unbemerkte Art der Trojaner

Neben einer markanten Zunahme der Bedrohungen für Computer und dessen Daten (siehe dazu den regelmäßigen Bericht von Google Research) sind vor allem die immer verfeinerten Methoden der Infizierung für Anwender und Administratoren ein Problem. Nicht selten gelangt ein Schädling auf den Rechner obwohl eine Anti-Viren-Software installiert ist. Eine besonders heimtückische Art stellt der sogenannte Drive-By-Download dar.

Die grundlegende Frage bei jeder Art von Infizierung des Rechners (oder neuerdings auch vermehrt Smartphones und Tablets) ist und bleibt: auf welchem Weg gelingt es der Malware den Rechner zu untergraben und welche Maßnahmen können im Vorfeld getroffen werden. Um diese Frage ausreichend zu beantworten, sollten die unterschiedlichen Vorgehensweisen der Trojaner-Erzeuger genau analysiert werden. Das Motto: nur wer seinen Gegner kennt, kann diesen erfolgreich bekämpfen.

Wie gelangt der Trojaner auf den Rechner?

Wichtig – auch vor allem für den Anwender – ist das Wissen, welche Wege sich die Eindringlinge suchen, um das Betriebssystem oder eine Applikation zu manipulieren. Darauf kann der User dann in seiner täglichen Arbeit Rücksicht nehmen und zwar nicht alles vermeiden, aber zumindest die Hürde für die Schadsoftware so groß wie möglich legen.
Eine Studie von Microsoft, in der die erfolgreich beseitigten Infektionen der im eigenen Haus erstellten Software (MRT, Security Essentials, Forefront, etc.) ausgewertet wurden, belegt, dass ältere Betriebssysteme häufiger Opfer von Angriffen werden. Dies ist glaubhaft, obwohl dahinter auch der Verkaufsgedanke nicht zu leugnen ist. Wer heute noch ein Windows-Betriebssystem älter als XP einsetzt, darf sich nicht wundern.
Zurück zum möglichen Weg des Trojaners. Nicht selten gelangt dieser mit aktiver Unterstützung durch den Anwender auf den Rechner. Ein beliebter Weg ist der unbedachte Einsatz von USB-Sticks. Sei es dass der eigene auf Geschäftsreisen an diverse Rechner angedockt oder aber auch „kurz mal“ dem Sohnemann und seinen Freunden zum Datentausch geliehen wurde. Hier hilft keine Ausrede („das hätte die Virensoftware doch erkennen müssen“) – fahrlässig ist wohl der richtige Ausdruck. Ein ähnliches Beispiel wäre das Abspielen von CDs, die als Werbegeschenke oder „Informationsmaterial“ eintreffen (siehe den Beitrag zu gezielten Email-Attacken). Dies ist heute eine beliebte Methode einer „sozialen Attacke“: der Angreifer sucht sich sehr gezielt den Adressaten seines „Geschenks“. Im schlimmsten Fall kennt der AV-Scanner den Virus gar nicht, da dieser nie öffentlich in Umlauf gebracht wurde. Ein ganz spezieller „Service“ für die zu hackende Firma.

Die klassische Variante

Diese Art der Übertragung von Mal wäre kennt jeder (ohne sich aber an die Vorsichtsmaßnahmen zu halten). Andere Arten der herkömmlichen Methode sind die regelrechte „Installation“ von Viren und Trojanern über verseuchte Software (die günstige Software von russischen Servern oder dem CD-Stand in Asien). Gleiches gilt aber auch für so manche CD von Herstellern oder Partnern (siehe z.B. die verseuchte CD von Cisco), wenngleich in diesen Fällen die Eigeninfizierung nur unbewusst weitergegeben wurde.

Drive-By Download

Auf ganz andere Weise funktioniert die heimtückische Art des Infizierens „im Vorübergehen“. Hier wird die Schadsoftware nur durch den Besuch einer Webseite auf den Rechner übertragen. Der Anwender bemerkt davon nichts. Und wir sprechen hier nicht nur von „zwielichtigen“ Internetpräsenzen, die dafür ohnehin bekannt sind. Auch vollkommen seriöse Seiten (manchmal auch als solche vorgetäuscht) können mit derartigen „Skripts“ unterwandert sein. Kein Doppelklick ist notwendig, keine Sicherheitsabfrage wird gestellt und der Schädling wird dennoch auf dem eigenen Rechner verankert. Wie kann dies sein?

Der Ablauf der Infektion

Während aus Anwendersicht wohl die Frage kommt „Wie kann das so einfach passieren?“, ist der technische Hintergrund der Infektion (bei „guten“ Trojanern) sehr komplex. Einerseits ist es die Masse der Trojaner und deren Varianten, die es der Anti-Virus-Software fast unmöglich macht Schritt zu halten. Andererseits sind die vielfältigen Schwachstellen der Programme – Adobe Flash ist diesbezüglich wohl der reine Wahnsinn – ein Grund für die Leichtigkeit der Infizierung. Wie gelangt man nun aber auf solche bösen Seiten wenn man „gar nichts besonderes“ tut?

Es ist immer ein Seitenbesuch

  • Meist bedarf es des Zutuns des Anwenders. Der klassische Fall ist der Klick auf eine Phishing-Email. Damit gelangt der interessierte (!) Anwender meist auf eine gefälschte Webseite. Die manchmal sehr professionellen Nachbauten einer „vertrauten“ Seite bewirken eine abgeschwächte Aufmerksamkeit des Besuchers (er glaubt sich ja auf „seiner“ Seite und dort geht es um Inhalte) bezüglich eventueller Sicherheitskompromittierungen. Dies ist aber nur das einfachste Beispiel. Wer heute noch unbedacht auf Links klickt ist (fast) selbst schuld.
  • Das zweite Beispiel trifft eine realistische Betrachtung des „unschuldigen“ Users schon eher. In diesem Fall wird einfach auf einen Werbebanner geklickt. Oft ist dieser als solcher gar nicht erkennbar und unauffällig in den Seite Text integriert. Gut, wir verteufeln jetzt den Betreiber der Seite, dass er solche Werbung einbindet. Aber so einfach ist es manchmal auch nicht. Manche Hoster versuchen die Kosten des Internetauftritts damit zu kompensieren indem sie Werbeflächen an Marketingfirmen verkaufen. Und so bestimmt letztlich nicht der eigentliche Betreiber der Seite die geschalteten Anzeigen (auch Textlinks) sondern der „Werbepartner“. Schlussfolgerung: man suche sich nur glaubwürdige Partner – dies liegt aber außerhalb der Wahrnehmung des Internetsurfers.
  • Die wohl trickreichste Variante der Irrleitung ist jener mithilfe von SEO. Dabei wird mithilfe komplexer und aufwendiger Manipulationen ein sehr hohes Ranking bei Google & Co. erreicht. Und bevor jetzt jedermann auf Google einprügelt: die Anstrengungen der Bösewichte sind technisch sehr ausgefeilt und variieren ständig. Dazu aber vielleicht in einem zukünftigen Blogeintrag mehr. An dieser Stelle der wichtige Punkt: der Suchende klickt auf einen Link in der ausgegebenen Trefferliste und schon ist der Angriff auf dem Weg. Kleiner Hinweis: zuerst einen Blick auf welche Domäne der Link verweist werfen und Unbekanntes oder verdächtige Namen meiden.

Eins, zwei – Deins

Der in der aufgerufenen Seite (unsichtbar) hinterlegte Schadcode nutzt fast immer eine Schwachstelle. Diese besteht zu jeder Zeit! Variante A: Das Betriebssystem oder eine Anwendung (manchmal auch nur ein Plugin des Browsers) enthält eine Schwachstelle, welche nicht zeitgerecht durch ein verfügbares Update geschlossen wurde. Hier hilft nur eines: Patchen und regelmässiges Einspielen von Updates. Variante B unterscheidet sich nur in einem Punkt: es gibt noch keinen Patch für die (mittlerweile) bekannte Sicherheitslücke. In diesem Fall hilft wenig – im besten Fall noch eine gute Firewall (siehe den Beitrag zu Total Secure). Aber auch nur dann, wenn dieser Hersteller rechtzeitig die Prüfmechanismen aktualisiert hat.

 

Dieser Exploit – also die bestehende Schwachstelle – wird von dem in der Website hinterlegten Schadcode ausgenutzt. Aber nicht so einfach zu erkennen. Denn erstmal wird nur der erste (kleine) Teil der Mal wäre heruntergeladen. Erst in einem zweiten Schritt wird der eigentliche Schädling auf den Computer übertragen. Dieser wird vom Browser des Users angefordert. Es handelt sich also um eine aktive Verbindung vom internen Netzwerk nach außen – keine „Intrusion“ ist mehr notwendig. Ab jetzt ist alles nur mehr ein Download – unbemerkt vom Anwender.
Da der Exploit meist im Internet verfügbar ist, ist es ein leichtes für Bots und andere weit gestreute Malware-Netzwerke diese in einen Schadcode zu implementieren. Mittlerweile gibt es schon richtige Suites zur Erstellung von Trojanern basierend auf aktuelle Exploits – Updates eingeschlossen. Kostenpunkt 500 bis 1000 Dollar.

Nichts geht mehr

Ist der nachgeladene Schadcode einmal auf dem Rechner greift der Trojaner zur Selbstverteidigung. Manchmal wird ein Absturz des Browsers simuliert, um unmittelbar nach dem Neustart alles unter Kontrolle zu haben. Welcher Anwender denkt schon Böses nur weil Firefox mit einem Ausnahmefehler beendet wurde und anschließend wieder einwandfrei funktioniert? Damit ist aber alles für die Infektion abgeschlossen. Alle „normalen“ Abwehrmaßnahmen sind außer Kraft gesetzt: kein Aufruf der Kommandozeile, kein Task-Manager funktioniert fortan.

Was hilft?

Die vollständige Unterbindung von Trojanern und anderem Schadcode ist unmöglich. Vorbeugung kann aber viel verhindern. Dazu müssen sowohl Administratoren wie auch Endanwender gleichermaßen auf der Hut sein. Für die IT-Verantwortlichen gilt es Betriebssysteme und Anwendungen auf dem aktuellen Stand zu halten. Keine leichte Aufgabe angesichts der Masse an ständig neu vermeldeten Sicherheitslücken. Des weiteren – und hier ist auch die Geschäftsführung gefragt – sollten Sicherheitsfragen im Netzwerk nicht nur „nebenbei“ behandelt werden. Hier gilt es die Priorisierung innerhalb der IT richtigzustellen. Schmalspur-Budgets für Security sind ebenso out wie die vielzitierten „Script-Kiddies“, die lange Zeit für Schadsoftware verantwortlich gemacht wurden (heute ist dies ein Wirtschaftszweig, der höhere Profite als im Drogenhandel ermöglicht).
Dazu parallel sollte aber jedes Unternehmen ihre Mitarbeiter mit praktikablen Leitlinien (Schulungen) helfen, ihren Beitrag zur Vermeidung von Malware im Unternehmensnetz zu leisten. Dazu gehört auch ein vernünftiger Umgang mit sozialen Medien (Facebook, Twitter, Chat, etc.). Wer sich nur auf einen Virenscanner verlässt hat schon verloren.

 


Teile diesen Artikel

Das könnte dich auch interessieren …

5 Antworten

  1. 23. August 2012

    […] einer Infektion zu entgehen. Zu vielfältig sind die Quellen im Internet (siehe dazu auch unseren Blogpost zur Infizierung durch Drive-By-Download). Aus diesem Grund ist es sinnvoll, bereits vorab die richtigen Maßnahmen vorzubereiten. Hier […]

  2. 12. Januar 2013

    […] meisten Infektionen des Rechners holen sich Anwender ohne jede Schuld. Drive-By-Downloads erledigen die Kontamination des gesamten Betriebssystems völlig unbemerkt. Hier beugt nur […]

  3. 24. Mai 2013

    […] ausgesetzt. Das Spezielle am Test: das Angriffsszenario beschränkte sich auf sogenannten Drive-By-Attacken. Dabei bleibt der Anwender außen vor. Die einzige Aktion ist das harmlos scheinende Ansurfen einer […]

  4. 20. Juli 2015

    […] Selbst übervorsichtige PC-Nutzer sind nicht vor digitalen Schädlingen gefeit. Die Gefahr von Drive-By-Downloads kann durch einen wohlüberlegten Umgang zwar minimiert, aber nie ganz gebannt […]

  5. 8. Februar 2019

    […] einer Infektion zu entgehen. Zu vielfältig sind die Quellen im Internet (siehe dazu auch unseren Blogpost zur Infizierung durch Drive-By-Download). Aus diesem Grund ist es sinnvoll, bereits vorab die richtigen Maßnahmen vorzubereiten. Hier […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*