29.03.2007, 09:01

Frank Ziemann

Web-Angriffe werden immer zielgerichteter

Angreifer wählen potenzielle Opfer und Zielgruppen verstärkt nach bestimmten Kriterien aus. Sie wollen damit offenbar die eigene Angriffsfläche reduzieren, um nicht entdeckt zu werden.
Das X-Force Team der IBM-Tochter Internet Security Systems warnt vor einer Zunahme personalisierter Angriffe im Internet. Malware-Schreiber, Phisher und Botnet-Betreiber benutzen zunehmend so genannte Personalisierungs-Tools, um ihre Angriffe effizienter zu machen.
Wie die Werbestrategen in Unternehmen wählen sie Zielgruppen aus und suchen im Web nach Informationen über Personen, die sie diesen Zielgruppen zuordnen. Zu den gesammelten Daten zählen weniger persönliche Vorlieben als vielmehr technische Informationen wie der verwendet Browser und dessen Version oder das eingesetzte Betriebssystem. Schließlich ist es nicht sinnvoll einem Mac-Benutzer einen Windows-Schädling zu schicken.
Diese Informationen werden bei jedem Besuch einer beliebigen Website von Browser an den Web-Server übermittelt. Die Browser-Kennung ("user-agent") enthält die genaue Browser-Version und das Betriebssystem, zum Beispiel:
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
Mozilla/4.0 (compatible; MSIE 5.0; Mac_PowerPC)
Mozilla/4.78 (Macintosh; U; PPC)
Mozilla/5.0 (X11; U; Linux i686; en-US; rv:0.9.4) Gecko/20011022 Netscape6/6.2
Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.0.11) Gecko/20070312 Firefox/1.5.0.11
Zusammen mit der aktuellen IP-Adresse des Internet-Nutzers können Angreifer eine Web-Seite so konstruieren, dass sie beim Besuch genau den passenden Exploit-Code anwendet, der auch funktionieren sollte. Die Seite enthält zwar auch passende Angriff-Codes für verschiedene andere Rechnerkonfigurationen, setzt jedoch stets den vermeintlich besten ein.
Die gesammelten Daten werden von den Tätern auch dazu verwendet, nicht demselben Opfer ständig die gleiche Malware zu senden. Außerdem treiben einige Tätergruppen untereinander Handel mit IP-Adressen, von denen sie zu wissen glauben, dass sie von Sicherheitsfachleuten eingesetzt werden. Damit wollen sie eine frühzeitige Entdeckung durch Sicherheitsunternehmen wie Antivirus-Hersteller vermeiden.
Kommt ein Besucher mit einer solchen IP-Adresse auf eine Malware-Seite, liefert der Web-Server eine völlig harmlose Seite aus. Ein anderes Beispiel ist die Gromozon-Gang, die IP-Adressen einem Herkunftsland zuordnet und abhängig davon jeweils andere Inhalte ausliefert.
Diskutieren Sie mit anderen Lesern über dieses Thema:
PC-WELT Hacks
PC-WELT Hacks Logo
Technik zum Selbermachen

3D-Drucker selbst bauen, nützliche Life-Hacks für den PC-Alltag und exotische Projekte rund um den Raspberry Pi. mehr

167282
Content Management by InterRed