Schadcode in Websites bleibt unentdeckt

30.05.2007
Infizierte Websites verstecken Code vor Malware-Suchmaschinen, das hat Finjan entdeckt.

Finjan hat einen neuen Trend entdeckt: Infizierte Websites verstecken Code vor Malware-Suchmaschinen und starten so getarnte Attacken.

Diese russsische Nachrichten-Website für Emmigranten wurde Opfer von Hacker-Angriffen.
Foto:

So können Angreifer mittlerweile ihren Schadcode auf Websites gezielt vor Crawlern verstecken. Diese Malware-Suchmaschinen durchforsten das Internet nach bösartigen Programmen und klassifizieren sie entsprechend. Die Hacker präparieren Webseiten und Webserver so raffiniert, dass die Schadsoftware in der Lage ist herauszufinden, von welcher IP-Adresse aus die Inhalte der Website aufgerufen werden. Während Malware-Suchmaschinen dann unverdächtige Inhalte präsentiert bekommen, spielt der Webserver allen anderen Anwendern Seitenversionen mit bösartigem Code ein. Auf diese Weise gelangen die Informationen über Malware-gespickte Websites nicht in die schwarzen Listen gängiger URL-Filter, die deshalb auch nicht mehr wirksam vor den bösartigen Codes schützen können.

Ein anderer Trick besteht darin, Angriffscode nur dann in eine Webseite einzubinden, wenn ein Anwender sie zum ersten Mal aufruft. Kommt der Besucher wieder, fehlt die Malware - auch dies erschwert die Erkennung und Zuordnung erheblich. Diese Entdeckungen zeigen, dass Hacker ihre Techniken erneut signifikant verfeinert haben. Detaillierte Informationen über die neuen Angriffsmethoden wird der Web Security Trends Report Q2/2007 von Finjan enthalten.

"Angriffstechniken mit entsprechenden Ausweichmechanismen stützen sich auf Datenbanken mit den IP-Adressen bekannter Crawler, die nach Malware suchen, und auf Zähler, die die Besuche einzelner Websurfer auf einer Website festhalten"", erklärt Yuval Ben-Itzhak, CTO bei Finjan. "Vor allem in Kombination mit weiteren Tricks zur Verschleierung bösartiger Code-Elemente ist dies eine Methode, die die Wirksamkeit klassischer URL-Blocker gegen Schadcode auf Websites einschränkt".

Diese Technik bewirkt laut Ben-Itzhak, dass immer mehr Websites, etwa jene für Wohnungssuchende, News-Leser und Online-Käufer, fälschlich als harmlos eingestuft werden. Der Finjan- Report berichtet ferner von derartiger Malware auf einer führenden Nachrichtenseite für Bürger russischer Sprache im Exil, die mindestens 5.000 infizierte Seiten mit ein- und ausblendbarem Angriffscode enthielt.

Zum Zeitpunkt der Untersuchung kam Finjan dem Schluss, dass die Seiten gehackt worden waren und noch immer unter der Kontrolle der Angreifer standen, die die bösartigen Programme injiziert und dann verborgen hatten. Das Ergebnis zeigt, wie schnell sich Sites mit guter Reputation unterwandern und missbrauchen lassen.

Am 29. April 2007 benachrichtigte Finjan den legitimen Betreiber der Site über die darauf gefundene Malware; eine Reaktion erfolgte bis jetzt allerdings nicht. Finjans Q2/2007-Trends-Report wird weitere derartige Beispiele aufführen.

Um entsprechende Bedrohungen abzuwehren, sollte daher eine Software zum Einsatz kommen, die jede Webseite in Echtzeit auf bösartigen Code überprüft, ohne sich auf Signaturen, die Reputation der IP-Adressen oder URL-Kategorien zu stützen. "Derartige Anwendung sollte den Code auf Webseiten bei jedem Aufruf analysieren und bewerten, bevor die Inhalte im Browser überhaupt geöffnet werden", sagt Ben-Itzhak. Systeme, die mit reinen Blockadelisten und vorab durchgeführten Reputationsprüfungen arbeiten, reichen als alleinige Sicherheitsbarrieren gegen Webgefahren nicht mehr aus. (rw)