Drive-by-Exploits / Drive-by-Download

Drive-by-Exploits Drive-by-Download

Copyright © Shutterstock / Alexander Supertramp

Was ist Drive-by-Exploits / Drive-by-Download?

Drive-by-Exploits / Drive-by-Download beziehen sich jeweils auf den unbeabsichtigten Download von Computersoftware aus dem Internet. Dazu zÀhlen Downloads, die eine Person durch Klicken autorisiert hat aber auch Downloads, die ohne das Wissen einer Person z.B. durch Malware geschehen.

Eigenschaften

Drive-by-Exploits / Drive-by-Download können beim Besuch einer Webseite, beim Öffnen einer E-Mail-Anlage oder beim Klicken auf einen Link oder beim Klicken auf ein tĂ€uschendes PopUp-Fenster auftreten: Zum Beispiel durch Anklicken des Fensters im falschen Glauben, dass ein Fehlerbericht des Betriebssystems des Computers selbst bestĂ€tigt wird oder ein scheinbar harmloses PopUp-Fenster abgelehnt wird. In solchen FĂ€llen kann der “Anbieter” behaupten, dass der Benutzer dem Download “zugestimmt” hat, obwohl der Benutzer eigentlich gar nicht wusste, dass er einen unerwĂŒnschten oder schĂ€dlichen Software-Download gestartet hatte.

Wenn eine Nutzer eine Webseite mit schĂ€dlichem Inhalt besucht, kann dieser Nutzer ebenfalls ein Opfer eines Drive-by-Exploits- / Drive-by-Download-Angriffs werden. Das heißt, der bösartige Inhalt kann Schwachstellen im Browser oder in Plugins ausnutzen, um böswilligen Code ohne Wissen des Nutzers auszufĂŒhren. Bei einer Drive-by-Installation handelt es sich um ein Ă€hnliches Ereignis. Hier bezieht es sich rein auf die Installation, jedoch nicht auf den Download (obwohl beide Begriffe manchmal austauschbar verwendet werden).

Prozess

Beim Erstellen von Drive-by-Exploits / Drive-by-Download muss ein Angreifer zunĂ€chst den schĂ€dlichen Inhalt erstellen, um den Angriff auszufĂŒhren. Mit dem Anstieg der Exploit-Packs, die die Sicherheits-AnfĂ€lligkeiten enthalten, die zum AusfĂŒhren von Drive-by-Exploits- / Drive-by-Download-Angriffen erforderlich sind, wurde der fĂŒr diesen Angriff erforderliche Fertigkeitsgrad reduziert.

Der nĂ€chste Schritt besteht darin, den schĂ€dlichen Inhalt zu hosten, den der Angreifer verteilen möchte. Eine Möglichkeit ist, dass der Angreifer den schĂ€dlichen Inhalt auf seinem eigenen Server hosten kann. Wegen der Schwierigkeit, Nutzer auf eine neue Seite zu leiten, kann sie jedoch auch auf einer gefĂ€hrdeten legitimen Webseite gehostet werden, die unwissentlich den Inhalt des Angreifers ĂŒber einen Drittanbieter-Service (z. B. Werbung) verteilt. Wenn der Inhalt vom Client geladen wird, analysiert der Angreifer den Fingerabdruck des Clients, um den Code so anzupassen, dass Schwachstellen fĂŒr diesen Client ausgenutzt werden.

Schließlich nutzt der Angreifer die erforderlichen Schwachstellen aus, um den Drive-by-Exploits- / Drive-by-Download-Angriff zu starten. Normalerweise wird eine von zwei Strategien verwendet. Die erste Strategie nutzt API Aufrufe fĂŒr verschiedene Plugins. Beispielsweise hat die Download-And-Install-API der Sina Active X-Komponente ihre Parameter nicht ordnungsgemĂ€ĂŸ ĂŒberprĂŒft und das Herunterladen und AusfĂŒhren beliebiger Dateien aus dem Internet ermöglicht.

Die zweite Strategie besteht darin, Shellcode in den Speicher zu schreiben und dann Schwachstellen im Webbrowser oder Plugin auszunutzen, um den Steuerfluss des Programms auf den Shellcode umzuleiten. Nachdem der Shellcode ausgefĂŒhrt wurde, kann der Angreifer weitere schĂ€dliche AktivitĂ€ten ausfĂŒhren. Dies beinhaltet hĂ€ufig das Herunterladen und Installieren von Malware, einschließlich des Diebstahls von Informationen, die an den Angreifer zurĂŒckgeschickt werden.

Der Angreifer kann auch Maßnahmen ergreifen, um eine Erkennung wĂ€hrend des gesamten Angriffs zu verhindern. Eine Methode besteht darin, sich auf die Verschleierung des Shellcodes zu verlassen. Dies kann durch die Verwendung von iFrames erfolgen. Eine andere Methode besteht darin, den schĂ€dlichen Code zu verschlĂŒsseln, um die Erkennung zu verhindern. Im Allgemeinen verschlĂŒsselt der Angreifer den Shellcode in einem Geheimtext und schließt dann die EntschlĂŒsselungsmethode nach dem Geheimtext ein.

Erkennung

Die Erkennung von Drive-by-Exploits-Angriffen / Drive-by-Download-Angriffen ist ein aktives Forschungsgebiet. Einige Erkennungsmethoden umfassen eine Anomalieerkennung, die StatusĂ€nderungen auf dem Computersystem eines Nutzers verfolgt, wĂ€hrend er eine Webseite besucht. Dazu gehört das Überwachen des Computersystems des Nutzers auf anomale Änderungen, wenn eine Webseite gerendert wird. Andere Erkennungsmethoden umfassen das Erkennen, wann schĂ€dlicher Code von einem Angreifer in den Speicher geschrieben wird. Eine weitere Methode ist die Erstellung von Laufzeitumgebungen, in denen JavaScipt-Code ausgefĂŒhrt werden kann und dessen Verhalten wĂ€hrend der AusfĂŒhrung verfolgt.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte