153968

Das Web im Belagerungszustand

17.04.2009 | 15:44 Uhr |

Eine ausführliche Analyse zeigt, wie ein verdeckter Angriff auf ahnungslose Besucher einer vermeintlich harmlosen Website funktioniert. Ohne Wissen und Zutun des Opfers wird Malware eingeschleust und der PC wird Teil eines Botnets.

Die Verbreitungswege von Malware ( mal icious soft ware , Schadprogrammen) haben sich in den letzten Jahren stark verändert. Wurden Viren früher mit infizierten Disketten verteilt, folgten später Würmer, die sich per Mail selbst ausbreiten können. Heute ist das Web der wichtigste Verteiler. Mit so genannten Drive-by Downloads ("Herunterladen im Vorbeigehen") werden beim Besuch manipulierter Websites heimlich Schädlinge in den Rechner eingeschleust. Eine Analyse des Antivirusherstellers Kaspersky Lab zeigt, wie solche Angriffe ablaufen.

Ryan Naraine schildert in seiner Analyse "Drive-by-Downloads. Das Web im Belagerungszustand" recht ausführlich die Vorgeschichte, den Ablauf dieser Angriffe und die dabei verwendeten Techniken. Der Browser der Anwender rückt in den Mittelpunkt des Geschehens. Er dient als Hilfsmittel der Angreifer, um über die Ausnutzung von Sicherheitslücken schädlichen Code in den PC einzuschleusen.

Der Angriff beginnt mit der Vorbereitung einer Website, auf die potenzielle Opfer dann gelockt werden sollen. Dazu wird entweder eine legitime Website gehackt oder kurzfristig eine eigene eröffnet. Letztere wird dann durch so genanntes "Black SEO" (böswillige Suchmaschinenoptimierung) in den Suchergebnisse von Google und Co. nach vorn gebracht, indem ein gerade aktuelles Thema aufgegriffen wird. So führten etwa Suchmaschinentreffer zum Twitter-Wurm kurz nach dessen Bekanntwerden auf präparierte Malware-Seiten, ähnlich wie beim Schädling "Conficker" .

In die Web-Seite, die so genannte "Landing-Page", wird Javascript und/oder ein Iframe eingebettet, der weiteren Code von einem anderen Server lädt. Der vom Besucher verwendete Browser wird ermittelt und passender Exploit-Code geladen, der eine bekannte Sicherheitslücke ausnutzt. Ohne dass der Besucher etwas bemerkt, wird so ein Trojanisches Pferd in seinen PC eingeschleust und ausgeführt. Der Rechner wird damit zu einem Teil eines Botnet. Zudem werden persönliche Informationen wie Passwörter zu Online-Diensten ausspioniert.

Die komplette Analyse finden Sie in deutscher Übersetzung auf der Website von Kaspersky Lab.

0 Kommentare zu diesem Artikel
153968