Drive-by-Download - Die unsichtbare Viren-Gefahr

Drive by Download Viren sind eine große Gefahr in der Computerwelt. Zur Zeit sind knapp 100 Millionen Viren, Trojaner und Würmer bekannt. Und täglich kommen 250.000 neue Viren hinzu. Der Begriff Drive-by-Download klingt zunächst nach einer praktischen Applikation, die sich schnell und nebenbei herunterladen lässt. Schnell und nebenbei ist dabei schon ganz richtig. Jedoch ist dieser Download weder nützlich noch praktisch. Denn hierbei handelt es sich um eine neuartige und zugleich gefährliche Art der Virenverbreitung. Bereits beim ganz alltäglichen Besuch einer Webseite kann ein Drive-by-Download gestartet werden. Drive-by-Infektionen werden meist komplett unbemerkt für den Computernutzer ausgelöst.

In der Praxis taucht der Schadcode einer Drive-by-Infektion in verschiedenen Variationen auf. Häufig ist der Code in Java geschrieben. Er kann aber auch per iframe auf einer Webseite eingebettet sein. Da die Drive-by-Downloads sehr unterschiedlich realisiert werden, ist es oftmals schwer, sie zu erkennen. Sowohl für den Nutzer selbst als auch für Antivirenprogramme. Beide bemerken den Download nicht oder können ihn hinterher nicht mehr rückgängig machen. Erst einmal heruntergeladen kann sich der Virus auf dem System verbreiten und dieses zudem als Teil eines Botnetzes missbrauchen. Schon für privat genutzte Computer ist das riskant. Noch schlimmer jedoch wird es, wenn die Drive-by-Infektion auf einen Firmenrechner gelangt und dadurch womöglich ein illegaler Zugriff auf private Daten zahlreicher Kunden möglich wird.

Ablauf einer Drive-by-Infektion

Drive by Download Ablauf
Video: Drive by Downloads
  1. Der Computernutzer ruft eine manipulierte Internetseite auf. Für Betroffene ist dies vorab nicht zu erkennen.
  2. Der Browser lädt heimlich ein iFrame. Die iFrame-Seite untersucht den Browser auf mögliche Schwachstellen. Dazu werden die Clientdaten ausgelesen. Es wird in Erfahrung gebracht, mit welchem Browser der Nutzer die infizierte Seite besucht. Zudem erkennt die Software, welche Plug-ins vorhanden sind, wie die IP-Adresse des Nutzers lautet und aus welchem Land dieser stammt.
  3. Die gesammelten Daten werden an den Server des Schadcodes gesendet und dort ausgewertet. Aus den gesammelten Daten wird ein Exploit ausgeliefert.
  4. Ist der Exploit erfoglreich, sendet der Malware-Server einen passenden Schadcode an den Nutzercomputer. Die Vollendung beziehungsweise die endgültige Infektion des Rechners erfolgt in der Regel nur dann, wenn die vorausgegangene Analyse für den Angreifer positiv erscheint. Sprich, die Attacke muss sich für den Angreifer „lohnen“.
In vielen Fällen wird der Schadcode sogar vom Nutzer selbst fertig installiert. Dazu simuliert der Trojaner zum Beispiel einen Systemabsturz oder lässt den Browser nicht mehr funktionieren. Auf diesem Wege wird der Nutzer dazu gebracht, seinen PC neu zu starten. Mit dem Neustart sind die Probleme schließlich zwar behoben. Jedoch ist auch die Drive-by-Infektion damit endgültig.

Ist der Drive-by-Download vollzogen, kann auf das System des Zielrechners zugegriffen, gespeicherte Dateien verändert und natürlich auch einfach gesammelt werden. Die Fähigkeiten der Schadsoftware hängen immer davon ab, was der Angreifer bezwecken will, wobei solche Trojaner meist mit einem bestimmten Ziel entwickelt werden. Oftmals verändern sie die Einstellungen der Firewall, was das anschließende Auslesen von Passwörtern und Sammeln von Daten ermöglicht. Angefangen von doc- bis hin zu pdf- und jpg-Dateien kann praktisch alles gesammelt und ausgelesen werden. Allerdings ist nicht nur das Auslesen, sondern sogar das Verändern oder Löschen von Dateien möglich. Sehr häufig entstehen Schäden, wenn Angreifer mittels Drive-by-Download auf die sensiblen Daten des Nutzers wie beispielsweise die fürs Online-Banking zugreifen.

Drive-by-Infizierung

Schutz vor Drive-by-Downloads

Grundsätzlich ist es nie ganz auszuschließen, dass sich ein Trojaner auf dem heimischen Rechner einschleicht. Kein Virenprogramm kann alle möglichen Schädlinge rechtzeitig erkennen oder gar beseitigen. Aber um einen Drive-by-Download zu verhindern, können schon kleine Tricks helfen.

Aktive Inhalte blockieren

Noscript für Firefox
Video: NoScript
Eine Drive-by-Infektion ist nicht Browsergebunden. Der Nutzer kann sich Drive-by-Viren mit jedem Internetbrowser einfangen. Je aktueller die Version des Browsers ist, desto geringer ist die Gefahr, dass sich eine Drive-by-Infektion auf dem Computer einschleicht.

Für Firefox gibt es eine Erweiterung, um Drive-by-Downloads effektiv aus dem Wege zu gehen: NoScript. Standardmäßig blockiert NoScript alle Skripts (JavaScript, Java und andere Plug-ins). Man bekommt die Internetseite im Rohformat präsentiert und kann dann diejenigen Skripts aktivieren, die zum Anzeigen aller relevanten Informationen wichtig sind.

Virtualisierungsprogramme

Neue Hoffnung gegen Drive-by-Attacken bieten sogenannte Virtualisierungsprogramme, wo - in der Theorie - die Computernutzer sich frei im Netz bewegen, beliebige Dateien herunterladen und testen können, ohne dass das Computersystem nachhaltig infiziert würde. Die Virtualisierungstechnik verspricht Rundumschutz vor jedweder Bedrohung, selbst durch unbekannte Viren. Alles, was im Virtualisierungsprogramm ausgeführt wird, bleibt vom restlichen System (Systemdateien usw.) abgeschottet. Illegitime Systemzugriffe werden wirkungsvoll unterbunden.

Sandboxie
Video: Sandboxie
Sehr gut ist das kostenlose Virtualisierungsprogramm Sandboxie. Das Programm Sandboxie lässt sich innerhalb weniger Augenblicke installieren. Sandboxie präsentiert sich mit eigenem Fenster und ist kinderleicht zu bedienen. Der Computernutzer muss nur entscheiden, welche Programme in der abgeschotteten Sandbox ausgeführt werden sollen. Im Explorer gibt es dazu einen neuen Kontexteintrag. Ein # im Programmfenster signalisiert den Sandbox-Modus.

Ralf Westermann hat ein tolles Sandboxie-Tutorial (Sandboxie - Erste Schritte) ins Internet gestellt.

Antivirenprogramme

Virenangriffe verursachen direkten finanziellen Schaden und helfen zudem bei der Realisierung vieler anderer Gefahren, zu denen der Diebstahl vertraulicher Informationen und der unberechtigte Zugriff auf diese Daten gehören. Antivirenprogramme sollen Malware-infizierte Downloads und Dateien verhindern. Leider werden Schädlinge nur erkannt, wenn sie bereits in den Laboren der Antivirus-Hersteller erkannt wurden. Neue Schädlinge können dadurch aber nicht blockiert werden. Die Antiviren-Industrie ihrerseits schlägt mehrere neue Herangehensweisen an den Schutz der IT-Infrastruktur vor: Unter anderem Proaktive Technologien, Veröffentlichung zahlreicher Gegenmittel, häufigere Updates von Antiviren-Datenbanken uvm. Zwar wurden bereits Schutzmechanismen entwickelt, die vor bzw. bei der Installation von unbekannten Programmen überprüfen, ob das Programm ungewöhnliche Aktivitäten entfalten. Jedoch sind diese aktuell noch sehr löchrig. Meine sehr geschätzten Kollegen Rene Hifinger und Felix Bauer (IT-Sicherheitsexperten) von der Initiative bleib-Virenfrei beschäftigen sich intensiv mit Antivirenprogrammen und empfehlen aktuell die Virenschutz-Programme von Bitdefender und Kaspersky.