Drive-by-Download
Author
Robin Laufenburg, Mo, 23. Mai. 2022
in IT-Sicherheit

Drive-by-Download

Wenn sich Malware automatisch herunterlädt

Was ist ein Drive-by-Download? Schadsoftware kann über viele Wege auf Fremdsysteme gelangen. Eine Aktion des Benutzers ist dabei fast immer notwendig. Er lädt zum Beispiel einen bösartigen E-Mail-Anhang oder eine schädliche Anwendungsdatei von einer fragwürdigen Internetseite herunter und führt sie aus. 

Anders sieht es beim Drive-by-Download aus, der sich beim Internetseitenbesuch selbstständig herunterlädt und ausführt.

Was ist ein Drive-by-Download?

Der englische Begriff „Drive-by“ bezeichnet erst einmal nur das Vorbeifahren. Als „Drive-by-Shooting“ versteht beispielsweise einen Anschlag aus einem sich bewegenden Fahrzeug.

Ein Drive-by-Download ist im diesem Sinne ein „vorbeifahrender“ Malwaredownload. Beim Surfen auf einer infizierten Webseite lädt sich die Malware selbstständig herunter und führt sich automatisiert aus. Sie fangen sich die Schadsoftware also allein durch den Besuch einer Website ein.

Der Drive-by-Download verübt quasi einen Anschlag auf das Zielsystem. Dabei umgeht er sämtliche Sicherheitsmechanismen und nutzt mithilfe von Exploits bzw. Exploit-Kits bekannte Sicherheitslücken aus. Dazu gehören Schwachstellen im Betriebssystem, ungeschützte Schnittstellen im Browser, in anderen Webanwendungen oder in Plugins des Browsers. Exploits sind Anwendungen, die nur dafür konzipiert sind, Sicherheitslücken zu entdecken und sie gekonnt auszunutzen.

Viele kleine Unternehmen, Selbstständige und Privatanwender verschieben die Installation von wichtigen Sicherheitspatches. Doch das gibt Exploits die Möglichkeit, noch nicht gestopften Sicherheitslücken auszunutzen. Aufgrund des zentralen Anwendungsbestandteils bezeichnet man Drive-by-Downloads auch synonym als Drive-by-Exploits.

Schutz vor Drive-by-Downloads

Wie Sie sich vor Drive-by-Downloads optimal schützen, erfahren Sie in diesem Blogbeitrag. Bild: Pexels/@alesnesetril

Relevanz von Drive-by-Downloads

Heutzutage haben Programme kaum noch die primäre Virus- oder Wurmfunktionalität. Stattdessen werden sie fast nur noch via Drive-by-Infektion oder Spam-Mails verbreitet. In den vergangenen Jahren hat der Drive-by-Download laut IT-Sicherheitsexperten dabei die Spam- bzw. Phishing-E-Mail als beliebteste Methode zur Verbreitung von Malware abgelöst. Einer der Gründe dafür ist, dass man bei einer Phishing-E-Mail Handlungsmöglichkeiten hat, einem Drive-by-Download aber weitgehend hilflos ausgeliefert ist.

So ziemlich alle Malware-Verbreitungsmethoden, die auf Spam-Mails setzen, setzen auf die Komponente Mensch. Angreifer bringen ihre Opfer mithilfe von Social-Hacking- und Scamming-Methoden dazu, schädliche Links anzuklicken oder gefährliche Dateianhänge herunterzuladen. Dabei gehören emotionale Trigger, die Sehnsüchte, autoritären Gehorsam oder Panik auslösen, sowie fehlendes Sicherheitsbewusstsein zu den zentralen Gründen, weshalb die Verbreitung von Malware so erfolgreich ist.

In einer heutigen Zeit der Arbeitswelt 4.0 entsteht zum Glück ein immer größeres Sicherheitsbewusstsein. Es steht mutmaßlich mit der Berichtserstattung aktueller Themen im Bereich der IT-Sicherheit als auch mit Sicherheitsschulungen in Zusammenhang.

Was verbreiten Drive-by-Downloads?

Welche Art von Malware ein Drive-by-Download herunterlädt, hängt von den Kriminellen ab. In den meisten Fällen ist der Drive-by-Download lediglich der erste Schritt eines mehrstufigen Angriffs. Mit ihm verschaffen sich Kriminelle den Zugang zum gesamten Fremdsystem.

Besonders häufig verbreiten Drive-by-Downloads dabei Adware, Ransomware, Keylogger und andere Spyware oder Backdoors. Auch können Drive-by-Downloads „im Vorbeifahren“ Cryptojacking betreiben.

Bekannt wurde der Drive-by-Download im Januar 2013, als Kriminelle die Internetseite der PC-Welt manipuliert hatten. Damals wurden die Geräte tausender Besuchermittels Drive-by-Download  infiziert. Mehr als 24 Stunden befand sich der schädliche Code unbemerkt auf der Website. Einen Monat zuvor war bereits die Internetseite der Sparkasse mit einem Drive-by-Schädling infiltriert. Das sind jedoch nur zwei der bekannten Fälle, die zeigen, wie unauffällig, großflächig und schnell Drive-by-Downloads Malware verbreiten können.

Drive-by-Exploits

Drive-by-Exploits können sich auf viele Weisen verbreiten. Bild: Pexels/@taras-makarenko-188506

Wie verbreiten sich Drive-by-Downloads?

Die Internet- und Browsersicherheit ist nach wie vor ein äußerst wichtiges Thema, wenn es um den Schutz vor Drive-by-Downloads geht. Immer wieder werden nämlich Sicherheitslücken in Webbrowsern und Plugins entdeckt; wie im Chromium-Browser, in Google Chrome und in Google-Chrome-Add-Ons oder im Firefox-Browser. Das ist auch kein Wunder, denn Webbrowser haben die nahezu unerfüllbare Aufgabe, den verschiedensten Content anzeigen und ausführen zu können: Videos, Spiele und Chat-Messenger.

Besonders beliebt ist bei Cyberkriminellen das Malvertisement. Dabei handelt es sich um fingierte Werbung, die allein für die Drive-by-Verbreitung von Malware eingesetzt wird.

Kompromittieren Kriminelle eine gewöhnliche Internetseite, infiziert der Drive-by-Exploit die Geräte, die auf diese eine Internetseite zugreifen. Kompromittieren Kriminelle jedoch einen sogenannten Adserver bzw. ein Werbenetzwerk und präparieren die Werbeanzeigen mit einem Drive-by-Download-Code, erreichen sie sämtliche Besucher aller Internetseiten, die die Werbung schalten.

Drive-by-Download durch Sicherheitslücken in aktive Funktionen

Um Websitecontent anzuzeigen, benötigen Webbrowser Java-Plugins oder den Adobe Flash-Player. Kriminelle missbrauchen besonders die hierbei verwendeten aktiven Funktionen wie Java, Flash, ActiveX & Co., um auf Fremdsysteme zugreifen zu können.

Über bekannte oder unentdeckte Sicherheitslücken im Quellcode der aktiven Funktionen starten Kriminelle über Internetseiten, Browser oder Browser-Plugins die Drive-by-Downloads. Nutzen Kriminelle Schwachstellen im Browser aus, spricht man vom Browser-Hijacking. Sobald entsprechende Exploits bekannt werden, schließen die Hersteller mit Sicherheitspatches die Sicherheitslücken in ihren Produkten.

Das wohl momentan bekannteste Beispiel für die Folgen, die eine Sicherheitslücke in einem Quellcode haben kann, ist die javabasierte Logging-Bibliothek Log4j. Doch bei dem Zero-Day- und Drive-by-Exploit Log4Shell handelte es sich längst nicht um den einzigen Java-Code, mit dessen Hilfe Kriminelle ungewünscht Malware verbreitet haben. Besucht man eine Internetseite, die beispielsweise Java-Funktionen nutzt, kann über den Browser Malware auf das System geladen und dort gestartet werden. In diesem Fall würde die Drive-by-Infektion javabasiert funktionieren.

Drive-by-Downloads

Oft merken die Betroffenen gar nicht, dass sie Opfer von Drive-by-Downloads geworden sind. Bild: Pexels/@kaiquestr

Schutz vor Drive-by-Exploits

Nur eine komplett sichere IT-Umgebung ist ein geeigneter Schutz vor einem gefährlichen Drive-by-Download. Beherzigen Sie deswegen unsere Tipps, um  privat oder mit Ihrem Unternehmen möglichst sicher zu agieren und Ihre IT-Umgebung ganzheitlich zu schützen.

  1. Sie sollten Sicherheitsupdates immer möglichst direkt installieren. Da Drive-by-Exploits bekannte Schwachstellen ausnutzen, ist es dringend notwendig, dass Sie für Ihre Firmware und Softwarelösungen wie den Browser und dessen Erweiterungen, Systemaktualisierungen immer sofort durchzuführen. Unser Tipp: Patchen Sie Firmware und Software automatisiert! Dafür bietet sich für Sie das Patch-Management an, das Bestandteil vom IT-Basisschutz für Unternehmen und dem Eins-für-Alles-Paket von PC-SPEZIALIST in Ihrer Nähe ist.
  2. Um vor Drive-by-Exploits geschützt zu sein, sollten Sie einen hochwertigen Virenschutz mit Angriffsfrüherkennung nutzen. Auf diese Weise sorgt Ihr Virenscanner dafür, dass schädliche Programme erst gar nicht auf Ihre Gerät gelangen. PC-SPEZIALIST in Ihrer Nähe sorgt für den Austausch eines privat eingesetzten Antivirenprogramms und der Migration von betrieblichen IT-Sicherheitslösungen.
  3. Nutzen Sie eine hochwertige Firewall wie eine Hardware-Firewall, um mit Ihren Geräten sicher surfen und arbeiten zu können. Sie bietet einen Schutzwall für Ihr Netzwerk. Die Hardware-Firewall ist Bestandteil vom IT-Basisschutz für Unternehmen.
  4. Entfernen Sie nicht genutzte Anwendungen und Erweiterungen. Dadurch, dass Sie Ihre Angriffsoberfläche minimieren, senken Sie auch das Risiko einer Drive-by-Infektion. Sobald Programme oder Plugins keine neuen Sicherheitsupdates mehr bekommen, sollten Sie diese meiden. Denn: Solche Software stellt für Ihre Systeme ein erhebliches Sicherheitsrisiko dar. Auch Browser-Erweiterungen, die Ihnen unbekannt vorkommen, sollten Sie ggf. entfernen.
  5. Meiden Sie fragwürdige Websites. Sie könnten zwar theoretisch auf jeder Seite im Internet auf Drive-by-Downloads stoßen, doch tummeln sich diese besonders auf unseriösen Internetseiten. Websites mit fragwürdigen Inhalten wie Raubkopien oder nicht jugendfreien Themen sind bei Drive-by-Exploits äußerst beliebt.
  6. Sie sollten wachsam sein, wenn Sie fragwürdige E-Mails erhalten. Denn immerhin leiten Phishing-Mails ihre Opfer gelegentlich auf infizierte Zielseiten, die Drive-by-Downloads ausführen oder andere unseriöse Internetseiten. Öffnen Sie weder Links noch E-Mail-Anhänge, wenn Sie den Absender nicht kennen und die E-Mail nicht erwartet haben. Fragen Sie telefonisch beim Absender nach, was es mit der E-Mail auf sich hat.
  7. Um so mehr Benutzerrechte einem Benutzerkonto zugewiesen sind, umso mehr Schaden kann Schadsoftware anrichten. Nutzen Sie beispielsweise ein zweites Konto mit den wenigsten Benutzerrechten. Windows bietet dafür das Gast-Konto an.
  8. Starten Sie Ihren Browser, Ihr E-Mail-Programm und andere potenziell gefährliche Programme in einer Sandbox. Ihr Gerät führt Sandbox-Programme nur in einer abgeschotteten, vom Betriebssystem getrennten Umgebung aus. Gefährliche Programme können das Betriebssystem Ihres Geräts also, zumindest theoretisch, nicht erreichen.
  9. Verwenden Sie Werbeblocker. Immerhin werden die meisten Drive-by-Downloads durch Werbung ausgelöst. Sogenannte Ad-Blocker verhindern, dass die Exploits auf Ihre Geräte zugreifen können.
  10. Verwenden Sie Browser-Erweiterungen wie NoScript, um sämtliche aktive Inhalte (Java/ActiveX, Javascript) gezielt blockieren zu können.
  11. Und zu guter Letzt: Führen Sie regelmäßig Backups durch! Kommt es zu einer Drive-by-Infektion, kann es nötig sein, das komplette Betriebssystem wiederherzustellen. Antivirenprogramme können nach einer Infektion zwar die Malware entfernen, aber nicht immer sind alle Dateien wiederherzustellen. Schützen Sie Ihre Daten deswegen mit einem professionellen Backup für Unternehmen oder einem privaten Backup. Hierfür sollten Sie eine durchdachte Backup-Strategie anwenden.

Benötigen Sie professionelle Unterstützung? Dann wenden Sie sich an PC-SPEZIALIST in Ihrer Nähe und lassen sich zu professionellen Schutzmaßnahmen gegen Drive-by-Downloads & Co. beraten. PC-SPEZIALIST setzt für Sie die gewünschten IT-Sicherheitsmaßnahmen einmalig um oder prüft sie in Form von Managed Services kontinuierlich.

_______________________________________________

Verwendete Quellen: Bundesamt für Sicherheit und Informationstechnik (BSI), Bundespolizei-Virus, Thinking Objects (TO) Blog, was-ist-malware.de, EMSISOFT Blog, IT-SERVICE.NETWORK

0 Kommentare

    Schreiben Sie einen Kommentar

    Ihre E-Mail Adresse wird nicht veröffentlicht.