Drive-by-Exploits / Drive-by-Download

Drive-by-Exploits / Drive-by-Download

Copyright ┬ę Shutterstock / Alexander Supertramp

Was ist Drive-by-Exploits / Drive-by-Download?

Drive-by-Exploits / Drive-by-Download beziehen sich jeweils auf den unbeabsichtigten Download von Computersoftware aus dem Internet. Dazu z├Ąhlen Downloads, die eine Person durch Klicken autorisiert hat aber auch Downloads, die ohne das Wissen einer Person z.B. durch Malware geschehen.

Eigenschaften

Drive-by-Exploits / Drive-by-Download k├Ânnen beim Besuch einer Webseite, beim ├ľffnen einer E-Mail-Anlage oder beim Klicken auf einen Link oder beim Klicken auf ein t├Ąuschendes PopUp-Fenster auftreten: Zum Beispiel durch Anklicken des Fensters im falschen Glauben, dass ein Fehlerbericht des Betriebssystems des Computers selbst best├Ątigt wird oder ein scheinbar harmloses PopUp-Fenster abgelehnt wird. In solchen F├Ąllen kann der “Anbieter” behaupten, dass der Benutzer dem Download “zugestimmt” hat, obwohl der Benutzer eigentlich gar nicht wusste, dass er einen unerw├╝nschten oder sch├Ądlichen Software-Download gestartet hatte.

Wenn eine Nutzer eine Webseite mit sch├Ądlichem Inhalt besucht, kann dieser Nutzer ebenfalls ein Opfer eines Drive-by-Exploits- / Drive-by-Download-Angriffs werden. Das hei├čt, der b├Âsartige Inhalt kann Schwachstellen im Browser oder in Plugins ausnutzen, um b├Âswilligen Code ohne Wissen des Nutzers auszuf├╝hren.┬áBei einer Drive-by-Installation handelt es sich um ein ├Ąhnliches Ereignis. Hier bezieht es sich rein auf die Installation, jedoch nicht auf den Download (obwohl beide Begriffe manchmal austauschbar verwendet werden).

Prozess

Beim Erstellen von Drive-by-Exploits / Drive-by-Download muss ein Angreifer zun├Ąchst den sch├Ądlichen Inhalt erstellen, um den Angriff auszuf├╝hren. Mit dem Anstieg der Exploit-Packs, die die Sicherheits-Anf├Ąlligkeiten enthalten, die zum Ausf├╝hren von Drive-by-Exploits- / Drive-by-Download-Angriffen erforderlich sind, wurde der f├╝r diesen Angriff erforderliche Fertigkeitsgrad reduziert.

Der n├Ąchste Schritt besteht darin, den sch├Ądlichen Inhalt zu hosten, den der Angreifer verteilen m├Âchte. Eine M├Âglichkeit ist, dass der Angreifer den sch├Ądlichen Inhalt auf seinem eigenen Server hosten kann. Wegen der Schwierigkeit, Nutzer auf eine neue Seite zu leiten, kann sie jedoch auch auf einer gef├Ąhrdeten legitimen Webseite gehostet werden, die unwissentlich den Inhalt des Angreifers ├╝ber einen Drittanbieter-Service (z. B. Werbung) verteilt. Wenn der Inhalt vom Client geladen wird, analysiert der Angreifer den Fingerabdruck des Clients, um den Code so anzupassen, dass Schwachstellen f├╝r diesen Client ausgenutzt werden.

Schlie├člich nutzt der Angreifer die erforderlichen Schwachstellen aus, um den Drive-by-Exploits- / Drive-by-Download-Angriff zu starten. Normalerweise wird eine von zwei Strategien verwendet. Die erste Strategie nutzt API Aufrufe f├╝r verschiedene Plugins. Beispielsweise hat die Download-And-Install-API der Sina Active X-Komponente ihre Parameter nicht ordnungsgem├Ą├č ├╝berpr├╝ft und das Herunterladen und Ausf├╝hren beliebiger Dateien aus dem Internet erm├Âglicht.

Die zweite Strategie besteht darin, Shellcode in den Speicher zu schreiben und dann Schwachstellen im Webbrowser oder Plugin auszunutzen, um den Steuerfluss des Programms auf den Shellcode umzuleiten. Nachdem der Shellcode ausgef├╝hrt wurde, kann der Angreifer weitere sch├Ądliche Aktivit├Ąten ausf├╝hren. Dies beinhaltet h├Ąufig das Herunterladen und Installieren von Malware, einschlie├člich des Diebstahls von Informationen, die an den Angreifer zur├╝ckgeschickt werden.

Der Angreifer kann auch Ma├čnahmen ergreifen, um eine Erkennung w├Ąhrend des gesamten Angriffs zu verhindern. Eine Methode besteht darin, sich auf die Verschleierung des Shellcodes zu verlassen. Dies kann durch die Verwendung von iFrames erfolgen. Eine andere Methode besteht darin, den sch├Ądlichen Code zu verschl├╝sseln, um die Erkennung zu verhindern. Im Allgemeinen verschl├╝sselt der Angreifer den Shellcode in einem Geheimtext und schlie├čt dann die Entschl├╝sselungsmethode nach dem Geheimtext ein.

Erkennung

Die Erkennung von Drive-by-Exploits-Angriffen / Drive-by-Download-Angriffen ist ein aktives Forschungsgebiet. Einige Erkennungsmethoden umfassen eine Anomalieerkennung, die Status├Ąnderungen auf dem Computersystem eines Nutzers verfolgt, w├Ąhrend er eine Webseite besucht. Dazu geh├Ârt das ├ťberwachen des Computersystems des Nutzers auf anomale ├änderungen, wenn eine Webseite gerendert wird. Andere Erkennungsmethoden umfassen das Erkennen, wann sch├Ądlicher Code von einem Angreifer in den Speicher geschrieben wird. Eine weitere Methode ist die Erstellung von Laufzeitumgebungen, in denen JavaScipt-Code ausgef├╝hrt werden kann und dessen Verhalten w├Ąhrend der Ausf├╝hrung verfolgt.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte