Drive-by-Downloads und wie Sie sich davor schützen
26. Januar 2023 | Von:
René Hifinger

René Hifinger
Abseits von Security-Themen verfügt René Hifinger über fundiertes Fachwissen im Bereich Softwareentwicklung. Er beherrscht die Programmiersprachen C, C ++, HTML, JavaScript, PHP und Python.
René Hifinger berät Unternehmen weltweit in den Bereichen IT-Sicherheit und Softwareentwicklung. Er bringt über 15 Jahre Erfahrung mit und hat für verschiedene Unternehmen gearbeitet. Er ist Mitbegründer der Initiative bleib-Virenfrei.



Ein informatives Video zum Thema „Drive-by-Downloads“ wurde auf dem YouTube-Kanal „The Morpheus Tutorials“ online gestellt.

Grafische Darstellung: Der Ablauf einer Drive-by-Infektion
Hunderte Internetseiten bereits Opfer von Drive-by-Schädlingen
In den letzten Jahren basierten viele Angriffe auf infizierte Links. Zum größten Teil kam hierbei die Drive-By-Download-Technik zum Einsatz.Im Januar 2013 manipulierten Unbekannte die Internetseite der PC-Welt und infizierten tausende Besucher per Drive-by-Download. Der Schadcode befand sich 24 Stunden lang unbemerkt auf der Webseite. Nur 1 Monat später wurde die zentrale Internetseite der Sparkasse als Malware-Schleuder missbraucht. Auch hier kam ein Drive-by-Schädling zum Einsatz. Diese beiden Beispiele - die Liste ließe sich beliebig fortsetzen - zeigen, dass auch sichere und vertrauenswürdige Internetseiten Drive-by-Viren verbreiten können..
Die Folge von Drive-by-Downloads sind zum Beispiel die derzeit sehr beliebten Erpressungstrojaner. Diese geben vor, im Auftrag der Bundespolizei, der GEMA oder der GVU zu handeln und behaupten, dass auf dem Computer des Opfers urheberrechtlich geschütztes Material oder gar illegale Pornografie gefunden wurde und der Computer deshalb gesperrt sei. Für die Entsperrung des Rechners soll ein Betrag von 100 Euro und mehr über anonyme Zahlungsmittel wie Bitcoin oder Paysafecard bezahlt werden. Oft bleibt der PC auch nach Zahlung des geforderten Betrages gesperrt. Und dieses Geschäftsmodell funktioniert blendend: Knapp 8 Prozent der Geschädigten zahlen den geforderten Betrag, um wieder an ihre Daten zu kommen.
Drive-by-Infektionen per Malvertising
Sehr beliebt bei Cyberkriminellen ist das sogenannte Malvertisement oder Malvertising. Dabei handelt es sich um Werbung, die zur Drive-by-Verbreitung von Malware genutzt wird. Wird eine normale Webseite kompromittiert, werden nur die Besucher dieser Webseite infiziert. Kompromittiert der Cyberkriminelle jedoch einen Adserver (Werbenetzwerk) und präpariert die Werbung mit einem Drive-by-Download-Code, erreicht er damit die Besucher aller Internetseiten, die die Werbung einbinden.Bekannte Internetseiten wie arcor.de, ebay.de und t-online.de wurden bereits über missbrauchte Werbenetzwerke als Malware-Schleudern missbraucht.
Mit der Firefox- und Chrome-Erweiterung Adblock Plus kann man sich ganz einfach vor Malvertising-Attacken schützen. Das Wort „Ad" ist die Kurzform von „Ad-vertisement" und bedeutet Werbung. Die Erweiterung Adblock Plus ist kostenlos und blockiert Werbung (mögliche Malvertising-Attacken) auf allen Internetseiten. Nach der Installation von Adblock und dem Neustart des Browsers wird der Benutzer aufgefordert, eine Filterliste zu abonnieren. Die Filterliste enthält Textdateien mit Suchmustern zur Identifizierung von Werbung auf Internetseiten. Deutsche Nutzer sollten die Filterliste Easylist Deutschland + EasyList abonnieren. Die Filterliste wird regelmäßig von den Entwicklern aktualisiert.
So schützen Sie Ihren Computer
Auch wenn Sie sich vielleicht denken, dass es niemand auf Sie abgesehen haben kann, es mussten sich schon viele, die genauso gedacht haben, eines Besseren belehren lassen. Das sollten Sie gerade dann bedenken, wenn Sie vielleicht vorhaben, Online-Banking zu nutzen. Die Warnhinweise, so klein und unscheinbar sie auch auf den Internetseiten der Banken erscheinen mögen, sind nicht ohne Grund dort!Wenn Sie versuchen, die folgenden Schutzmaßnahmen so weit wie möglich zu befolgen, haben Sie bereits viel für Ihre persönliche Sicherheit im Internet getan. Es gibt eine Vielzahl von Schutzmaßnahmen, die gegen eine Vielzahl von Bedrohungen schützen. Natürlich haben alle Schutzmaßnahmen ihre Grenzen. Den perfekten Schutz gibt es nicht, ein Restrisiko bleibt immer!
- Aktualisieren Sie alle Computerprogramme regelmäßig. Ein Computerprogramm ist nur so sicher, wie es aktuell ist. Programme, die Sie nicht benötigen, sollten Sie deinstallieren. Insbesondere Ihren Browser sollten Sie regelmäßig aktualisieren. Die meisten Browser können so eingestellt werden, dass sie beim Start automatisch nach Updates suchen.
Firefox-Einstellungen: Updates automatisch installieren - Je mehr Rechte ein Benutzerkonto hat, desto mehr Schaden kann ein Schädling anrichten. Verwenden Sie zum Surfen im Internet das Konto mit den kleinstmöglichen Benutzerrechten. Unter Windows bietet das sogenannte Gastkonto die kleinstmöglichen Benutzerrechte.
- Wer im Internet surft, sollte sich einen guten Virenscanner zulegen (z. B. Bitdefender Internet Security). Ein kostenloser Virenscanner reicht in der Regel aus. Virenscanner haben die Aufgabe, Ihre Datenträger auf Viren zu überprüfen und diese gegebenenfalls sicher zu entfernen. In erster Linie sollen Virenscanner aber dafür sorgen, dass Viren und Trojaner gar nicht erst auf Ihren PC gelangen. Ein Virenscanner allein reicht dafür aber nicht aus! Deshalb sollte Ihr Virenschutzkonzept nicht nur aus der Installation eines Virenschutz-Programms bestehen.
- Verwenden Sie Browser-Erweiterungen wie "NoScript", um aktive Inhalte (Java/ActiveX, Javascript) zu blockieren.
Lesen Sie weiter unten: Aktive Inhalte mit NoScript blockieren ↓ - Starten Sie Ihren Browser in einer Sandbox. SandBox-Programme (zum Beispiel Sandboxie ↓) funktionieren genau nach dem Prinzip, wie Apple seine Rechnerstruktur aufgebaut hat: Programme laufen nur in einer abgeschotteten Umgebung, die vom Betriebssystem getrennt ist. Schadprogramme können also zumindest theoretisch das Betriebssystem des Computers nicht erreichen, es sei denn, sie überwinden die SandBox. Und darauf sind die meisten Schadprogramme nicht vorbereitet.
Lesen Sie weiter unten: Den Browser in einer Sandbox starten, mit Sandboxie ↓ - Öffnen Sie niemals automatisch einen E-Mail-Anhang, nur weil Sie den Absender kennen. Misstrauen ist der beste Schutz vor Viren. Wenn Ihr Virenscanner keinen Virus findet, überprüfen Sie den Anhang vor dem Öffnen auf Virustotal.com - so sind Sie auf der sicheren Seite.
- Schalten Sie eine Firewall ein, wenn Sie mehr Sicherheit wünschen. Schadprogramme und Hacker gelangen meist über ein Netzwerk auf den Computer und können so Informationen stehlen oder anderen Schaden anrichten. Eine Firewall bildet eine Schutzwall dagegen, ohne die Nutzung des Betriebssystems zu beeinträchtigen. Ihr Virenscanner hat keine Firewall? Dann aktivieren Sie die Windows-Firewall: Gehen Sie dazu über den
Start-Button
in dieSystemsteuerung
. Tippen Sie in der Suchmaske (oben rechts)Firewall
ein. Klicken Sie anschließend aufWindows Defender Firewall
. Nun können Sie die Firewall aktivieren. - Schützen Sie sich vor Phishing. Das Wort Phishing setzt sich aus den englischen Wörtern password und fishing zusammen. Phishing ist ein gezielter Angriff auf den Computerbenutzer, bei dem der Computer in keiner Weise manipuliert wird. Vielmehr ist Phishing eine Art Trickbetrug, bei dem ein Angreifer durch gefälschte Nachrichten oder Webseiten versucht, den Computerbenutzer zur Eingabe von vertraulichen Daten (Passwörter, Zahlungsdaten) zu verleiten. Gelangen z. B. Kreditkartendaten in den Besitz des Angreifers, kann ein großer finanzieller Schaden entstehen.
Lesen Sie auch: Was ist Phishing und wie kann ich mich schützen? - Erstellen Sie regelmäßig Backups! Auch Backups sind eine wichtige Virenschutzmaßnahme. Sollte es trotz aller Sicherheitstipps zu einer Malware-Infektion kommen, kann es notwendig sein, das gesamte System wiederherzustellen. Ein Antivirenprogramm kann nach einer Infektion zwar die Malware entfernen, aber nicht alle Änderungen des Schädlings rückgängig machen.
Aktive Inhalte mit NoScript blockieren
Inwiefern Sie Browser-Funktionen bei Ihrem Browser aktivieren oder deaktivieren, ist Ihnen überlassen. Bitte beachten Sie, dass bei einer Deaktivierung einige Webseiten möglicherweise nicht richtig oder gar nicht angezeigt werden. Überlegen Sie sich dann, ob Sie diese Seite nicht lieber gar nicht erst besuchen, wenn eine andere Möglichkeit ohne Java/ActiveX, Javascript angeboten wird.
- NoScrip für Google Chrome (google.com)
- NoScrip für Microsoft Edge (microsoft.com)
- NoScrip für Mozilla Firefox (mozilla.org)


NoScript Meldung
Wenn Sie auf den Button
Einstellungen
klicken, werden alle Domains angezeigt, die auf dieser Internetseite aktive Inhalte anzeigen möchten. Sie können nun für jede Domain einzeln festlegen, ob diese die Erlaubnis erhalten soll, aktive Inhalte auf Ihrem Computer auszuführen. Häufig werden mehrere Domains angezeigt, z. B. wenn externe Werbung oder andere externe Skripte eingeblendet werden.
Mögliche NoScript-Optionen:
erlauben
Die Einstellung bleibt dauerhaft erhalten, kann aber jederzeit über die OptionVerbieten
rückgängig gemacht werden. Wenn Sie eine vertrauenswürdige Webseite besuchen, z.B. die Webseite Ihrer Bank, können Sie die aktiven Inhalte für diese Domain dauerhaft zulassen.temporär erlauben
Die Einstellung gilt bis zum nächsten Neustart des Browsers.-
Scripte allgemein erlauben
Wenn Sie diese Option aktivieren, wird der NoScript-Schutz vollständig deaktiviert. Alle Webseiten erhalten die Erlaubnis, aktive Inhalte auf Ihrem Computer auszuführen.
Alle Beschränkungen für diese Seite aufheben
und
Temporär alle Beschränkungen für diese Seite aufheben
alle aktiven Inhalte (sämtlicher Domains) für eine Internetseite erlauben (dauerhaft oder temporär).

NoScript Einstellungen
Zahlreiche Internetseiten verwenden aktive Inhalte, um wichtige Funktionen zu realisieren. Dadurch kann es vorkommen, dass sich eine Internetseite anders verhält als zuvor. Aktivieren Sie die aktiven Inhalte Schritt für Schritt.
Wichtig: Auch bei vermeintlich vertrauenswürdigen Webseiten sollte man die NoScript-Einstellungen so restriktiv wie möglich konfigurieren und möglichst wenige Ausnahmen machen. Vertrauenswürdige Webseiten können jederzeit gehackt werden und Schadcode per Drive-by-Download verbreiten.
Den Browser in einer Sandbox starten, mit Sandboxie
Sandboxie (https://www.sandboxie.com/) ist ein kostenloses Tool, mit dem Anwendungen in einem isolierten Raum gestartet werden können. Dadurch können mögliche Veränderungen des Betriebssystems durch Schadcode verhindert werden. Startet man beispielsweise einen Browser in Sandboxie, werden alle Schreibzugriffe auf die Festplatte in einen Sandboxie-Ordner umgeleitet.Das eigentliche Computersystem wird dabei nicht verändert. Leert man die Sandbox (manuell oder automatisch möglich), werden alle Änderungen verworfen. Fängt man sich z. B. einen Schadcode ein, kann sich dieser nicht tief in das Betriebssystem einnisten. Stattdessen wird der Schadcode in die Sandbox umgeleitet und beim Leeren der Sandbox automatisch gelöscht. Der Schadcode kann nicht aus der Sandbox ausbrechen und das eigentliche Windows-System infizieren. Ein weiterer Vorteil: Browserverlauf, Cookies und temporäre Dateien werden nur in der Sandbox und nicht auf dem Windows-System zwischengespeichert.
Video: Sandboxie-Anwendung im Video
Nach der Installation von Sandboxie kann jede beliebige Anwendung aus der Sandbox heraus gestartet werden. Einfach mit der rechten Maustaste auf eine beliebige Programmverknüpfung klicken ->
In der Sandbox starten
.

Alle Programme, die in der Sandbox gestartet wurden, haben einen gelben Rahmen. Wenn Sie mit der Maus über das Programmfenster fahren.

Der Firefox-Browser in einer Sandbox von Sandboxie
Hinweis: Auch der Windows-Explorer kann in einer Sandbox gestartet werden. Legt man im Sandboxie-Explorer einen neuen Ordner an, so wird dieser nur im Sandboxie-Explorer angelegt, nicht im normalen Explorer! Wenn man also die Sandbox löscht, wird auch der Ordner gelöscht.