Drive-by-Exploits / Drive-by-Download

Was ist Drive-by-Exploits / Drive-by-Download?

Drive-by-Exploits / Drive-by-Download beziehen sich jeweils auf den unbeabsichtigten Download von Computersoftware aus dem Internet. Dazu zählen Downloads, die eine Person durch Klicken autorisiert hat aber auch Downloads, die ohne das Wissen einer Person z.B. durch Malware geschehen.

Eigenschaften

Drive-by-Exploits / Drive-by-Download können beim Besuch einer Webseite, beim Öffnen einer E-Mail-Anlage oder beim Klicken auf einen Link oder beim Klicken auf ein täuschendes PopUp-Fenster auftreten: Zum Beispiel durch Anklicken des Fensters im falschen Glauben, dass ein Fehlerbericht des Betriebssystems des Computers selbst bestätigt wird oder ein scheinbar harmloses PopUp-Fenster abgelehnt wird. In solchen Fällen kann der “Anbieter” behaupten, dass der Benutzer dem Download “zugestimmt” hat, obwohl der Benutzer eigentlich gar nicht wusste, dass er einen unerwünschten oder schädlichen Software-Download gestartet hatte.

Wenn eine Nutzer eine Webseite mit schädlichem Inhalt besucht, kann dieser Nutzer ebenfalls ein Opfer eines Drive-by-Exploits- / Drive-by-Download-Angriffs werden. Das heißt, der bösartige Inhalt kann Schwachstellen im Browser oder in Plugins ausnutzen, um böswilligen Code ohne Wissen des Nutzers auszuführen. Bei einer Drive-by-Installation handelt es sich um ein ähnliches Ereignis. Hier bezieht es sich rein auf die Installation, jedoch nicht auf den Download (obwohl beide Begriffe manchmal austauschbar verwendet werden).

Prozess

Beim Erstellen von Drive-by-Exploits / Drive-by-Download muss ein Angreifer zunächst den schädlichen Inhalt erstellen, um den Angriff auszuführen. Mit dem Anstieg der Exploit-Packs, die die Sicherheits-Anfälligkeiten enthalten, die zum Ausführen von Drive-by-Exploits- / Drive-by-Download-Angriffen erforderlich sind, wurde der für diesen Angriff erforderliche Fertigkeitsgrad reduziert.

Der nächste Schritt besteht darin, den schädlichen Inhalt zu hosten, den der Angreifer verteilen möchte. Eine Möglichkeit ist, dass der Angreifer den schädlichen Inhalt auf seinem eigenen Server hosten kann. Wegen der Schwierigkeit, Nutzer auf eine neue Seite zu leiten, kann sie jedoch auch auf einer gefährdeten legitimen Webseite gehostet werden, die unwissentlich den Inhalt des Angreifers über einen Drittanbieter-Service (z. B. Werbung) verteilt. Wenn der Inhalt vom Client geladen wird, analysiert der Angreifer den Fingerabdruck des Clients, um den Code so anzupassen, dass Schwachstellen für diesen Client ausgenutzt werden.

Schließlich nutzt der Angreifer die erforderlichen Schwachstellen aus, um den Drive-by-Exploits- / Drive-by-Download-Angriff zu starten. Normalerweise wird eine von zwei Strategien verwendet. Die erste Strategie nutzt API Aufrufe für verschiedene Plugins. Beispielsweise hat die Download-And-Install-API der Sina Active X-Komponente ihre Parameter nicht ordnungsgemäß überprüft und das Herunterladen und Ausführen beliebiger Dateien aus dem Internet ermöglicht.

Die zweite Strategie besteht darin, Shellcode in den Speicher zu schreiben und dann Schwachstellen im Webbrowser oder Plugin auszunutzen, um den Steuerfluss des Programms auf den Shellcode umzuleiten. Nachdem der Shellcode ausgeführt wurde, kann der Angreifer weitere schädliche Aktivitäten ausführen. Dies beinhaltet häufig das Herunterladen und Installieren von Malware, einschließlich des Diebstahls von Informationen, die an den Angreifer zurückgeschickt werden.

Der Angreifer kann auch Maßnahmen ergreifen, um eine Erkennung während des gesamten Angriffs zu verhindern. Eine Methode besteht darin, sich auf die Verschleierung des Shellcodes zu verlassen. Dies kann durch die Verwendung von iFrames erfolgen. Eine andere Methode besteht darin, den schädlichen Code zu verschlüsseln, um die Erkennung zu verhindern. Im Allgemeinen verschlüsselt der Angreifer den Shellcode in einem Geheimtext und schließt dann die Entschlüsselungsmethode nach dem Geheimtext ein.

Erkennung

Die Erkennung von Drive-by-Exploits-Angriffen / Drive-by-Download-Angriffen ist ein aktives Forschungsgebiet. Einige Erkennungsmethoden umfassen eine Anomalieerkennung, die Statusänderungen auf dem Computersystem eines Nutzers verfolgt, während er eine Webseite besucht. Dazu gehört das Überwachen des Computersystems des Nutzers auf anomale Änderungen, wenn eine Webseite gerendert wird. Andere Erkennungsmethoden umfassen das Erkennen, wann schädlicher Code von einem Angreifer in den Speicher geschrieben wird. Eine weitere Methode ist die Erstellung von Laufzeitumgebungen, in denen JavaScipt-Code ausgeführt werden kann und dessen Verhalten während der Ausführung verfolgt.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte