118440

Tarnen und täuschen: Javascript bei Angreifern beliebt

19.04.2007 | 18:01 Uhr |

Auf gehackten Websites, die zum Einschleusen von Malware in die PCs der Besucher missbraucht werden, wird oft und gerne Javascript eingesetzt, um den eigentlichen Angriffs-Code zu tarnen und zu starten.

Ein erheblicher Teil der Angriffe auf die Rechner von Internet-Nutzern findet heute mit Hilfe gehackter Websites statt. Potenzielle Opfer werden oft mit Links in Spam-Mails oder via Instant Messenger auf manipulierte Web-Seiten gelockt. Diese enthalten zum Beispiel einen versteckten iFrame, der Code von einem anderen Server lädt. Dieser Code besteht häufig zunächst aus Javascript, das dazu dient den Browser und/oder die Herkunft des Besuchers zu identifizieren. Außerdem lädt so ein Script den eigentlichen Angriffs-Code, der etwa in einer präparierten Bilddatei stecken kann.

Dr. Jose Nazario, Sicherheitsforscher bei Arbor Networks, hat auf der Sicherheitskonferenz CanSecWest im kanadischen Vancouver, die noch bis morgen läuft, einen Vortrag über die Analyse schädlichen Javascript-Codes gehalten. Darin ist er auch auf ein Script eingegangen, das in letzter Zeit von der Sturm-Wurm-Bande eingesetzt wurde. Darin ist eine Funktion namens "makemelaugh" enthalten, die ein Trojanisches Pferd einschleusen soll.

Der aus einer einzigen, sehr langen Zeile bestehende Javascript-Code ist verschleiert, um seine Funktionalität vor automatischen Detektoren, etwa Virenscannern, zu tarnen. Dies geschieht zum Beispiel dadurch, dass Befehlssequenzen und URLs durch lange Zahlenreihen dargestellt werden, von denen jede Zahl für einen Buchstaben oder ein anderes Zeichen steht. Eine Dekodierungsfunktion wandelt die Zahlenreihen zur Laufzeit in Klartextbefehle um und führt sie aus.

Eine dabei zusätzlich eingesetzte Taktik ist es, den Angriffs-Code nur einmal pro PC beziehungsweise IP-Adresse auszuliefern, bei jedem weiteren Aufruf liefert die Funktion "makemelaugh" nur noch den Text "Sorry! You IP is blocked.". Damit wollen die Programmierer den Sicherheitsforschern die Analyse weiter erschweren. Ein Angriffs-Toolkit namens "Neosploit" liefert eine Reihe von Exploits, von denen beim ersten Besuch ein zu Browser und Betriebssystem passender ausgewählt wird.

Wenn Sie Mails oder IM-Nachrichten mit merkwürdigen Inhalten und dubiosen Links erhalten wie etwa diese vom letzten Montag , sollten Sie sie besser ignorieren und vor allem die Links nicht ansteuern. Ein so einfach einzusetzender Schutz wie die Firefox-Erweiterung Noscript (http://noscript.net) steht leider für Benutzer des Internet Explorers nicht zur Verfügung. Diese müssen Scripting entweder ganz abschalten oder mit den Sicherheitszonen des IE jonglieren, um sich die auf vielen legitimen Seiten erforderliche Javascript-Funktionalität zu erhalten.

0 Kommentare zu diesem Artikel
118440