English German

Drive-by-Downloads - So schützen Sie sich

Dienstag, 14.05.2019
Ein großes Sicherheitsrisiko birgt Ihr Browser. Aktive Funktionen wie Flash, Java, ActiveX - die eigentlich als Komfort dienen sollen - können nämlich auch für andere Dinge missbraucht werden: Zum Beispiel für Drive-by-Infektionen. Besucht man zum Beispiel eine Internetseite, die Java-Funktionen nutzt, können Programmcodes über den Browser auf das eigene System geladen und dort gestartet werden. Der Programmcode (womöglich ein Schadcode) hat nun dieselben Rechte, wie auch der aktuell unter Windows eingeloggte Benutzer. Zugriffsrechte auf das komplette Betriebssystem!

Ein informatives Video zum Thema „Drive-by-Downloads“ hat der YouTuber „SemperVideo“ online gestellt.

Grafische Darstellung: Der Ablauf einer Drive-by-Infektion
Ablauf eines Drive by Downloads

Hunderte Internetseiten bereits Opfer von Drive-by-Schädlingen

Laut Kaspersky basierten in den letzten Jahren über 90 Prozent aller Attacken auf infizierte Links. Zum größten Teil kam hierbei die Drive-By-Download-Technik zum Einsatz.

Im Januar 2013 haben Unbekannte die Internetseite der PC-Welt manipuliert und tausende Besucher per Drive-by-Download infiziert. Der schädliche Code befand sich 24 Stunden unbemerkt auf der Webseite. Nur 1 Monat später wurde die zentrale Internetseite der Sparkasse als Malware-Schleuder missbraucht. Auch hier kam ein Drive-by-Schädling zum Einsatz. Diese zwei Beispiele, man könnte die Liste endlos lange fortführen, zeigen, dass auch sichere und vertrauenswürdige Internetseiten Drive-by Viren verbreiten können.

Die Folgen von Drive-by-Downloads sind zum Beispiel die aktuell sehr beliebten Erpressungs-Trojaner. Diese geben vor, im Auftrag der Bundespolizei, GEMA, GVU zu handeln und behaupten, dass auf dem Computer des Opfers urheberrechtlich geschütztes Material oder sogar illegale Pornographie gefunden und der Computer aus diesem Grund gesperrt wurde. Für die Freigabe des Computers soll - über anonyme Zahlungsmittel wie Bitcoin, Ukash oder Paysafecard - ein Betrag von 100 Euro und mehr gezahlt werden. Natürlich bleibt der PC - auch nach Zahlung des geforderten Betrags - gesperrt. Und dieses Geschäftsmodell funktioniert blendend: 16% der Geschädigten zahlen den geforderten Betrag, um wieder an ihre Daten zu kommen.

Drive-by-Infektionen per Malvertising

Sehr beliebt bei Cyberkriminellen ist das sogenannte Malvertisement oder Malvertising. Hierbei handelt es sich um Werbung, die der Drive-by Verbreitung von Malware dient. Wird eine normale Internetseite kompromittiert, werden nur die Besucher dieser einen Internetseite infiziert. Kompromittiert der Cyberkriminelle jedoch einen Adserver (Werbenetzwerk) und präpariert die Anzeigen mit einem Drive-by-Download Code, erreicht er damit die Besucher aller Internetseiten, die die Werbung einbinden.

Bekannte Internetseiten wie arcor.de, ebay.de und t-online.de wurden bereits, über missbrauchte Werbenetzwerke als Malware-Schleuder missbraucht.

Vor Malvertising-Angriffen kann man sich recht einfach schützen, mit der Firefox-, Chrome-Erweiterung Adblock Plus. Das Wort „Ad" ist die Kurzform von „Ad-vertisement" und bedeutet Werbung. Die Erweiterung Adblock Plus steht kostenlos zur Verfügung und blockiert Werbung (mögliche Malvertising-Angriffe) auf sämtlichen Internetseiten. Nach der Adblock -Installation und dem Neustart des Browsers wird der Computernutzer gebeten, eine Filterliste zu abonnieren. Die Filterliste enthält Textdateien mit Suchmustern, um Werbung auf Internetseiten zu identifizieren. Deutsche Nutzer sollten die Filterliste Easylist Germany (Deutschland) + EasyList abonnieren. Die Filterliste wird von den Entwicklern regelmäßig gepflegt.

So schützen Sie Ihren Computer

Auch wenn Sie sich vielleicht denken, dass es niemand auf Sie abgesehen haben kann - es mussten sich schon viele, die genauso gedacht haben, eines Besseren belehren lassen. Das sollten Sie gerade dann bedenken, wenn Sie vielleicht vorhaben, Online-Banking zu nutzen. Die Warnhinweise, so klein und unbedeutend sie auch auf den Websites der Banken auftauchen mögen, stehen nicht ohne Grund da!

Wenn Sie versuchen, die nachfolgenden Schutzmaßnahmen so gut wie möglich gerecht zu werden, haben Sie für Ihre persönliche Sicherheit im Internet bereits Wesentliches erreicht. Es gibt zahlreiche Schutzmaßnahmen, die gegen eine Vielzahl von Bedrohungen schützen. Natürlich haben alle Schutzmaßnahmen ihre Grenzen. Den perfekten Schutz gibt es nicht, ein Restrisiko bleibt immer!
  1. Machen Sie regelmäßig Updates von allen Computerprogrammen. Ein Computerprogramm ist nur so sicher, wie es aktuell ist. Nicht benötigte Programme sollten Sie deinstallieren. Besonders Ihren Browser sollten Sie regelmäßig aktualisieren. Die meisten Browser lassen sich so konfigurieren, dass beim Browserstart automatisch nach Updates gesucht wird.

    Firefox automatisch aktualisieren
    Firefox-Einstellungen: Updates automatisch installieren
  2. Um so mehr Rechte ein Benutzerkonto besitzt, desto mehr mehr Schaden kann ein Schädling anrichten. Nutzen Sie zum Surfen im Internet, das Konto mit den kleinstmöglichen Benutzerrechten. Unter Windows bietet das so genannte Gast-Konto die kleinstmöglichen Benutzerrechte.
  3. Wer im Internet surft sollte sich einen guten Virenscanner zulegen (z.B. die Bitdefender Internet Security). Virenscanner haben die Aufgabe, Ihre Datenträger auf Viren zu prüfen und diese - wenn vorhanden - sicher zu entfernen. In erster Linie sollen Virenscanner aber dafür sorgen, dass Viren und Trojaner erst gar nicht auf Ihren PC gelangen. Ein Virenscanner allein reicht dazu jedoch nicht aus! Aus diesem Grund sollte Ihr Virenschutz-Konzept nicht nur aus einem installierten Virenschutz bestehen.
  4. Verwenden Sie Browser-Erweiterungen wie "NoScript", um aktive Inhalte (Java/ActiveX, Javascript) zu blocken. Siehe auch: Aktive Inhalte mit NoScript blockieren (Firefox)
  5. Starten Sie Ihren Browser in einer Sandbox (zum Beispiel Sandboxie). SandBox Programme funktionieren nach genau dem Prinzip, wie Apple seine Rechnerstruktur aufgebaut hat: Programme werden nur in einer abgeschotteten, vom Betriebssystem getrennten Umgebung ausgeführt. Schadprogramme können somit - zumindestens theoretisch - das Betriebssystem des Computers nicht erreichen, außer wenn sie die SandBox überwinden. Und darauf sind die meisten Schadprogramme einfach nicht vorbereitet. Siehe auch: Den Browser in einer Sandbox starten, mit Sandboxie
  6. Öffnen Sie niemals automatisch einen Mail-Anhang, nur weil Sie denn Absender kennen. Misstrauen ist der beste Virenschutz. Wenn Ihr Virenscanner keinen Virus findet, prüfen Sie den Anhang vor dem Öffnen auf jeden Fall auch auf Virustotal.com - damit sind Sie auf der sicheren Seite.
  7. Schalten Sie eine Firewall ein, wenn Sie mehr Sicherheit möchten. Schadprogramme und Hacker kommen meistens über ein Netzwerk auf den Computer und sind dadurch in der Lage, Informationen zu stehlen oder sonstigen Schaden anzurichten. Eine Firewall bildet eine Schutzwall dagegen, ohne dass die Betriebssystem-Nutzung beeinträchtigt wird. Ihr Virenscanner verfügt über keine Firewall? Dann aktivieren Sie die Windows-Firewall: Gehen Sie dazu über den Start-Button in die Systemsteuerung. Tippen Sie in der Suchmaske (oben rechts) Firewall ein. Klicken Sie anschließend auf Windows Defender Firewall. Nun können Sie die Firewall aktivieren.
  8. Schützen Sie sich vor Phishing. Das Wort Phishing setzt sich aus den Englischen Wörtern password und fishing zusammen. Beim Phishing handelt es sich um einen gezielten Angriff auf den Computernutzer, bei dem der Computer in keinster Weise manipuliert wird. Vielmehr ist das Phishing eine Art Trickbetrug, bei der ein Angreifer durch Fälschung von Nachrichten oder Internetseiten versucht, den Computernutzer zur Eingabe vertrauenswürdiger Daten (Passwörter, Zahlungsdaten) zu verleiten. Gelangen zum Beispiel Kreditkartendaten in den Besitz eines Angreifers, kann ein großer finanzieller Schaden entstehen.
  9. Erstellen Sie regelmäßig Backups! Auch ein Backup ist eine wichtige Virenschutz-Maßnahme. Kommen es trotz der eingesetzten Sicherheitstipps zu einer Malware-Infektion, so kann es nötig sein, das komplette System wiederherzustellen. Ein Antivirenprogramm kann nach einer Infektion zwar möglicherweise die Malware entfernen, ist aber nicht in der Lage sämtliche Änderungen des Schädlings wieder rückgängig zu machen.

Aktive Inhalte mit NoScript blockieren (Firefox)

Inwiefern Sie Browser-Funktionen bei Ihrem Browser aktivieren oder deaktivieren, liegt an Ihnen. Beachten Sie, dass manche Websites bei einer Deaktivierung unter Umständen nicht richtig oder auch gar nicht angezeigt werden. Überlegen Sie dann, ob Sie diese Seite vielleicht eben nicht besuchen, wenn nicht auch eine andere Möglichkeit ohne Java/ActiveX, Javascript angeboten wird.

NoScript LogoNoScript, eine für Firefox entwickelte Browser-Erweiterung, ermöglicht es Ihnen Aktive Inhalte nur auf vertrauenswürdige Internetseiten zu aktivieren. Die Erweiterung lässt sich im Firefox ganz bequem über diese Downloadseite installieren: Nutzt eine Internetseite JavaScript oder Java/ActiveX, wird im unteren Browser-Rand eine NoScript-Meldung NoScript Icon angezeigt.

NoScript Meldung
NoScript Meldung

Klicken Sie auf den Button Einstellungen werden alle Domains angezeigt, die aktive Inhalte auf dieser Internetseite darstellen möchten. Für jede einzelne Domain können Sie nun individuell festlegen, ob diese die Erlaubnis erhalten soll, aktive Inhalte auf Ihrem Computer ausführen zu dürfen. Sehr oft werden mehrere Domains angezeigt, wenn beispielsweise externe Werbung oder sonstige externe Scripts eingeblendet werden.

Mögliche NoScript-Optionen:
  • NoScript erlaubnis erlauben
    Die Einstellung bleibt dauerhaft erhalten, kann jedoch jederzeit wieder rückgängig gemacht werden, über die Option verbieten. Besuchen Sie eine vertrauenswürdige Internetseite, z.B. die Internetseite Ihrer Bank, können Sie die aktiven Inhalte für diese Domain dauerhaft erlauben.
  • NoScript erlaubnis temporär erlauben
    Die Einstellung bleibt bis zum nächsten Browser-Neustart gültig.
  • NoScript erlaubnis Scripte allgemein erlauben
    Wenn Sie diese Option aktivieren, geht die NoScript-Schutzwirkung komplett verloren. Alle Webseiten erhalten die Erlaubnis, aktive Inhalte auf Ihrem Computer ausführen zu dürfen.
Außerdem können Sie über die Optionen NoScript erlaubnis Alle Beschränkungen für diese Seite aufheben und NoScript erlaubnis Temporär alle Beschränkungen für diese Seite aufheben alle aktiven Inhalte (sämtlicher Domains) für eine Internetseite erlauben (dauerhaft oder temporär).

NoScript Einstellungen
NoScript Einstellungen

Zahlreiche Internetseite nutzen aktive Inhalte um wichtige Funktionen zu realisieren. Es kann also vorkommen dass sich eine Internetseite anders verhält als früher. Schalten Sie die aktiven Inhalte Schritt-für-Schritt frei.

Wichtig: Auch auf womöglich vertrauenswürdigen Internetseiten sollten Sie die NoScript-Einstellungen so restriktiv wie möglich konfigurieren - möglichst selten Ausnahmen machen. Vertrauenswürdigen Internetseiten können jederzeit gehackt werden und Schadcodes per Drive-by-Download verbreiten.

Ähnliche Erweiterungen für Google Chrome und Opera:

Den Browser in einer Sandbox starten, mit Sandboxie

Sandboxie (https://www.sandboxie.com/) ist ein kostenloses Tool um Anwendungen in einem isolierten Raum starten zu können. Dadurch können mögliche Änderungen am Betriebssystem - durch Schadcodes - verhindert werden. Startet man beispielsweise einen Browser in Sandboxie, werden alle Festplatten-Schreibzugriffe in einem Sandboxie-Ordner umgeleitet.

Das eigentliche Computersystem wird nicht verändert. Leert man die Sandbox (manuell oder automatisch möglich) werden alle Änderungen verworfen. Fängt man sich beispielsweise einen Schadcode ein, kann sich dieser nicht tief in das Betriebssystem einnisten. Stattdessen wird der Schadcode in die Sandbox umgeleitet und beim Leeren der Sandbox, automatisch gelöscht. Die Schadcodes können nicht aus der Sandbox ausbrechen, um das eigentliche Windows-System zu infizieren. Ein weitere Vorteil: Browser-Verlauf, Cookies, temporäre Dateien werden nur in der Sandbox zwischengespeichert, nicht auf dem Windows-System.

Video: Sandboxie-Anwendung im Video

Nach der Installation von Sandboxie kann man jede beliebige Anwendung aus der Sandbox heraus starten. Einfach mit der rechten Maustaste auf eine beliebige Programm-Verknüpfung klicken -> In der Sandbox starten.

Sandboxie starten

Alle Programme, die in der Sandbox gestartet wurden, besitzen einen gelben Rahmen. Wenn Sie mit der Maus über das Programme-Fenster fahren.

Browser in Sandboxie
Der Firefox-Browser in einer Sandbox von Sandboxie

Hinweis: Auch den Windows-Explorer kann man in einer Sandbox starten. Erstellt man im Sandboxie-Explorer einen neuen Ordner, wird dieser nur im Sandboxie-Explorer erstellt, nicht im normalen Explorer! Wird also die Sandbox gelöscht, wird auch der Ordner gelöscht.

Quellen
  1. Keine Quellangabe
↑ Nach oben