Die Verbreitung von Malware erfolgt heute meist nicht mehr als Mail-Anhang sondern über das Web. Online-Kriminelle hacken Web-Server und stellen dort präparierte Seiten ein. Sie versenden Spam-Mails mit Links zu diesen Seiten und optimieren sie für Suchmaschinen. Wer den Links folgt, kann sich schnell und unbemerkt ein Trojanisches Pferd auf den Rechner holen. Dies nennt man einen "Drive-by Download" - das Opfer einer solchen Drive-by-Infektion muss nach dem Aufruf der Seite nichts weiter tun, damit der PC infiziert wird.
Die via Drive-by-Infektionen verbreiteten Schädlinge dienen zum Teil dazu vertrauliche Informationen auszuspionieren. Sie spähen auf dem befallenen PC Anmeldedaten für das Online-Banking und für Spiele-Server aus. Sie fangen auch Zugangsdaten für Web-Server ab und sammeln Mail-Adressen. Ein anderer Teil der mittels Drive-by-Infektionen verbreiteten Malware sind so genannte Bots. Sie bringen den Rechner unter die Kontrolle der Hintermänner und reihen ihn in ein Botnet ein.
Im Folgenden erläutert unsere Schwesterzeitschrift PC Welt, wie Sicherheitslücken in Web-Servern und in Anwendungsprogrammen gemeinsam dazu beitragen, einen Angriffsvektor für Online-Kriminelle zu öffnen und Drive-by-Infektionen zu ermöglichen. Außerdem wird gezeigt, wie Sie Ihre Kunden vor solchen Angriffen schützen können. IT-Reseller müssen die Gefahren kennen, um Websites gegen Gefahren absichern zu können.
Sicherheitslücken im Web-Server
Um eine neue Angriffswelle zu starten, bringen Online-Kriminelle zunächst mehrere, besser möglichst viele Web-Server unter ihre Kontrolle. Sie benutzen dazu etwa ausspionierte FTP-Passwörter oder Sicherheitslücken in der Server-Software. Dazu gehören neben dem Web-Server-Dienst selbst auch PHP-Anwendungen wie Content Management Systeme, Foren oder Blogs sowie Datenbanken.
Viele Web-Anwendungen setzen auf einer SQL-Datenbank auf. Daher ist eine der häufigsten Angriffsmethoden von kriminellen Hackern die so genannte SQL-Injection-Attacke. Unzureichende Überprüfung von Daten, die Besucher einer Website in Formulare eingeben oder als URL-Parameter übergeben können, lässt direkte Befehle an die im Hintergrund arbeitende Datenbank durch.
Haben die ungebetenen Gäste ausreichende Kontrolle erlangt, um eine vorhandene Seite zu manipulieren oder eine neue abzulegen, wird die mehrstufige Malware-Falle installiert. Die erste Stufe besteht oft nur aus einer Zeile Javascript, die Besucher auf eine andere Website umleitet oder weiteren, getarnten Code von dort in den Browser lädt. Dieser klopft den Rechner des Besuchers auf ausnutzbare Schwachstellen ab.
Sicherheitslücken in Anwendungsprogrammen
Diese Analysestufe stellt zunächst fest, welche Browser-Version und welches Betriebssystem auf dem PC des potenziellen Opfers läuft. Auch die installierten Browser-Erweiterungen und Plug-ins werden analysiert. Findet das Script zum Beispiel eine alte Version des Flash Player oder des Adobe Reader, lädt es den dazu passenden Exploit.
Das beliebteste Angriffsziel sind Windows-Rechner, deren Benutzer mit dem Internet Explorer ins Web gehen. Zusammen mit vielen veralteten und anfälligen ActiveX-Steuerelementen bietet diese Kombination die besten Erfolgsaussichten. Die Angreifer benutzen präparierte Videos, Flash-Animationen, PDF-Dokumente und andere aktive Inhalte, die vom Browser automatisch geladen und zur Anzeige an das anfällige Plug-in weiter gereicht werden.
Die präparierten Multimedia-Dateien enthalten Code, der das Plug-in und oft auch den Browser zum Absturz bringen kann. Dabei wird zuvor in den Arbeitsspeicher des Rechners eingeschleuster Code ausgeführt. Dieser so genannte Shell-Code legt dann eine Programmdatei auf dem Rechner ab, die ein Trojanisches Pferd enthält. Dieses lädt weitere Malware aus dem Internet nach oder richtet selbst Schaden an.
In den meisten Fällen bekommen die Opfer solcher Angriffe nichts davon mit. Führt ein Angriff zum Absturz des Browsers, wird dies selten mit einem Malware-Angriff in Verbindung gebracht. Malware arbeitet heute möglichst unauffällig.
Schutzvorkehrungen
Der wichtigste Schutz vor solchen Angriffen sind Updates. Raten Sie Ihrem Kunden, die Software auf seinen Rechnern aktuell zu halten. Es sollten zeitnah neuesten Updates für das Betriebssystem, alle installierten Web-Browser und deren Erweiterungen sowie für andere Internet-fähige Anwendungen installiert werden. Dazu gehören zum Beispiel Mail- und Chat-Programme, Office-Pakete, Media Player oder Online-Spiele.
Nutzen Sie das automatische Windows Update und die eingebauten Aktualisierungsfunktionen der Programme. Spezielle Gratis-Programme zum Aufspüren veralteter und anfälliger Programmversionen helfen bei der Wartung des Systems. Dazu zählen etwa der Personal Software Inspector (PSI) von Secunia oder Microsofts Baseline Security Analyzer (MBSA).
Schutzprogramme wie moderne Antivirus-Software, Desktop Firewalls und Spam-Filter sollten auf keinem Internet-PC fehlen. Auch sie müssen ständig auf dem neusten Stand gehalten werden. Das erledigen die meisten dieser Programme automatisch im Hintergrund.
Schalten Sie im Browser des Anwenders alle nicht unbedingt nötigen Funktionen ab, die zur Anzeige aktiver Inhalte dienen. Im Internet Explorer sind dies in aller Regel ActiveX-Steuerelemente. In Firefox können Sie mit der Erweiterung Noscript nicht nur Javascript sondern auch Java, Flash und Videos deaktivieren und bei Bedarf für eine besuchte Website zulassen.
Eine oft vernachlässigte Datensicherheitskomponente verhilft zu etwas mehr Ruhe und Gelassenheit: das Backup. Wenn ihr Kunde alle wichtigen Daten regelmäßig auf einem externen Datenträger sichert, kann er oder Sie im Fall einer Verseuchung des Rechners oder bei Datenverlust darauf zurück greifen. PC Welt, Frank Ziemann (bw)