17.04.2009, 15:44

Frank Ziemann

Drive-by Downloads

Das Web im Belagerungszustand

Eine ausführliche Analyse zeigt, wie ein verdeckter Angriff auf ahnungslose Besucher einer vermeintlich harmlosen Website funktioniert. Ohne Wissen und Zutun des Opfers wird Malware eingeschleust und der PC wird Teil eines Botnets.

Aktuelle News

Beliebte News

MD 98920: Aldi verkauft Medion Akoya P7624-Notebook mit DirectX-11-Grafikkarte (Update)
Online einkaufen: Media Markt Online-Shop geht an den Start
Filesharing-Plattform geschlossen: FBI schließt Megaupload und verhaftet Kim Schmitz (Update II)

Die Verbreitungswege von Malware (malicious software, Schadprogrammen) haben sich in den letzten Jahren stark verändert. Wurden Viren früher mit infizierten Disketten verteilt, folgten später Würmer, die sich per Mail selbst ausbreiten können. Heute ist das Web der wichtigste Verteiler. Mit so genannten Drive-by Downloads ("Herunterladen im Vorbeigehen") werden beim Besuch manipulierter Websites heimlich Schädlinge in den Rechner eingeschleust. Eine Analyse des Antivirusherstellers Kaspersky Lab zeigt, wie solche Angriffe ablaufen.

Ryan Naraine schildert in seiner Analyse "Drive-by-Downloads. Das Web im Belagerungszustand" recht ausführlich die Vorgeschichte, den Ablauf dieser Angriffe und die dabei verwendeten Techniken. Der Browser der Anwender rückt in den Mittelpunkt des Geschehens. Er dient als Hilfsmittel der Angreifer, um über die Ausnutzung von Sicherheitslücken schädlichen Code in den PC einzuschleusen.

Aufbau eines Drive-by- Download-Angriffs

Der Angriff beginnt mit der Vorbereitung einer Website, auf die potenzielle Opfer dann gelockt werden sollen. Dazu wird entweder eine legitime Website gehackt oder kurzfristig eine eigene eröffnet. Letztere wird dann durch so genanntes "Black SEO" (böswillige Suchmaschinenoptimierung) in den Suchergebnisse von Google und Co. nach vorn gebracht, indem ein gerade aktuelles Thema aufgegriffen wird. So führten etwa Suchmaschinentreffer zum Twitter-Wurm kurz nach dessen Bekanntwerden auf präparierte Malware-Seiten, ähnlich wie beim Schädling "Conficker".

In die Web-Seite, die so genannte "Landing-Page", wird Javascript und/oder ein Iframe eingebettet, der weiteren Code von einem anderen Server lädt. Der vom Besucher verwendete Browser wird ermittelt und passender Exploit-Code geladen, der eine bekannte Sicherheitslücke ausnutzt. Ohne dass der Besucher etwas bemerkt, wird so ein Trojanisches Pferd in seinen PC eingeschleust und ausgeführt. Der Rechner wird damit zu einem Teil eines Botnet. Zudem werden persönliche Informationen wie Passwörter zu Online-Diensten ausspioniert.

Die komplette Analyse finden Sie in deutscher Übersetzung auf der Website von Kaspersky Lab.

Diskutieren Sie mit anderen Lesern über dieses Thema:

Ersten Kommentar erstellen

Direkt zum PC-WELT-Forum

PC-WELT-Experten lösen Ihr PC-Problem

Immer informiert mit dem PC-WELT Newsletter

PC-WELT iPhone- und Android-App

Gratis! Laden Sie sich die PC-WELT-App jetzt auf Ihr Smartphone oder Ihr Tablet und lesen Sie auch unterwegs aktuelle News, Tests & Ratgeber aus der PC- und Smartphone-Welt.

3x PC-WELT testen!

Ja, ich teste 3x die PC-WELT mit DVD für nur 11,90 € (19,- Sfr). Den 4 GB USB-Stick erhalte ich gratis dazu.

PC-WELT 3 / 2012

Zurück

Anrede:
Vorname:
Nachname:
Straße/Nr:
PLZ/Ort:
Land:
E-Mail:

Nur wenn ich innerhalb von 2 Wochen nach Erhalt der 3. Ausgabe nichts von mir hören lasse, möchte ich die PC-WELT mit DVD zum gleichen Preis weiterbeziehen (D: 55,80 €/Jahr, EU: 64,80 €/Jahr, CH: 103,70 Sfr/Jahr). Nach dem Testzeitraum ist der Bezug jederzeit kündbar.

Ich bin damit einverstanden, dass die IDG Magazine Media GmbH und ihre Partner mich per E-Mail über interessante Vorteilsangebote informieren.

Aktuelle Forumsthemen

	Best-of PC-WELT			PC-WELT Apps
	PC-WELT Business-IT			PC-WELT Community