Malvertising
Verseuchte Flash-Werbebanner
Eine relativ neue und weniger bekannte Methode zur Verbreitung von Malware sind Werbebanner, die schädlichen Code enthalten. Sie werden in Werbenetzwerke oder Bannertauschringe eingespeist und können so auf ansonsten harmlosen Websites erscheinen.
Das beliebteste Format für aktive Werbebanner ist Flash (.swf) mit seiner integrierten Script-Sprache Actionscript. Aktive Werbebanner können mehr als nur ein Bild oder eine Animation, die mit einem Link verknüpft ist. Solche Werbebanner sind nicht nur in den Netzwerken von Werbedienstleistern zu finden sondern auch in mehr oder weniger privat organisierten Bannertauschringen. Auch Online-Kriminelle haben längst die Möglichkeiten für sich entdeckt, die sich daraus ergeben. Bei Werbebannern, die schädlichen Code enthalten, spricht man auch von "Malvertising" (malicious advertising).
William Salusky vom Internet Storm Center hat festgestellt, dass solche schädlichen SWF-Dateien oft eine oder mehrere dieser Eigenschaften gemeinsam haben:
- sie sind mit kommerziellen Verschlüsselungsprogrammen vor dem Dekompilieren geschützt
- sie können komplexe Verschleierungstechniken einsetzen, um den schädlichen Actionscript-Code zu tarnen
- sie können Exploit-Code enthalten, der Sicherheitslücken im Rechner eines Besuchers ausnutzt
- sie können einfach nur als Sprungbrett zum eigentlichen Exploit-Server dienen
- sie können mit Hilfe von Social Engineering versuchen den Besucher zur Installation eines Programms zu bewegen
- sie enthalten zum Teil eine Zeitsteuerung, die schädlichen Code erst an einem bestimmten Tag und/oder zu einer bestimmten Zeit aktiviert.
Ansonsten können auf diesem Wege praktisch alle heute üblichen Schädlinge unters Volk gebracht werden. Es handelt sich bei Malvertising also lediglich um einen weiteren Angriffsvektor. Es muss sich auch nicht unbedingt um Werbebanner handeln - auch jede andere eingebettete Flash-Datei kann dem gleichen Zweck dienen.
Einen gewissen Schutz bieten zum Beispiel Firefox-Erweiterungen wie FlashBlock oder Noscript. Sie verhindern zunächst das Laden von Flash-Dateien und zeigen stattdessen ein Platzhaltersymbol an. Wenn Sie die Datei sehen wollen, genügt ein Mausklick. Doch in dem Moment ist es mit Schutz auch schon vorbei. Aktuelle Antivirus-Software, die (hoffentlich) wenigstens den eingeschleusten Schädling erkennt und unschädlich macht, ist dann bereits die letzte Bastion.
- sie können komplexe Verschleierungstechniken einsetzen, um den schädlichen Actionscript-Code zu tarnen
- sie können Exploit-Code enthalten, der Sicherheitslücken im Rechner eines Besuchers ausnutzt
- sie können einfach nur als Sprungbrett zum eigentlichen Exploit-Server dienen
- sie können mit Hilfe von Social Engineering versuchen den Besucher zur Installation eines Programms zu bewegen
- sie enthalten zum Teil eine Zeitsteuerung, die schädlichen Code erst an einem bestimmten Tag und/oder zu einer bestimmten Zeit aktiviert.
Ansonsten können auf diesem Wege praktisch alle heute üblichen Schädlinge unters Volk gebracht werden. Es handelt sich bei Malvertising also lediglich um einen weiteren Angriffsvektor. Es muss sich auch nicht unbedingt um Werbebanner handeln - auch jede andere eingebettete Flash-Datei kann dem gleichen Zweck dienen.
Einen gewissen Schutz bieten zum Beispiel Firefox-Erweiterungen wie FlashBlock oder Noscript. Sie verhindern zunächst das Laden von Flash-Dateien und zeigen stattdessen ein Platzhaltersymbol an. Wenn Sie die Datei sehen wollen, genügt ein Mausklick. Doch in dem Moment ist es mit Schutz auch schon vorbei. Aktuelle Antivirus-Software, die (hoffentlich) wenigstens den eingeschleusten Schädling erkennt und unschädlich macht, ist dann bereits die letzte Bastion.
