Malware via Online Banking

Der Drive-by-Download – schwer zu erkennen und brandgefährlich

Seite: 2/3

Abwehr und Erkennung von Drive-by-Downloads

Bis auf ein eventuelles Abstürzen des Browser beziehungsweise des Plug-ins bemerkt ein Anwender im Allgemeinen nichts von einer Drive-By-Infektion. Die dadurch installierte Schadsoftware verhält sich meist unauffällig.

Eine Ausnahme hierbei ist die sogenannten Scareware, die den Anwender mit Warnungen vor vorhanden Gefahren überhäuft und zu dem Kauf eines Fake-Antivirenscanners rät. Zudem ist es nicht möglich, eine präparierte Webseite auf den ersten Blick zu erkennen. Falls ein iFrame zum Einschleusen verwendet wird, so wird dies durch die Nutzung einer Breite und Höhe von 0 Pixeln meist versteckt.

Bildergalerie

Wird durch den Anwender ein sich neu öffnendes Popup direkt geschlossen kann es schon zu spät sein, jedoch ist man nicht komplett hilflos. Der Anwender sollte seine Browser und darin genutzte Plugins stets aktuell halten und zudem auf Erweiterungen wie zum Beispiel NoScript zurückgreifen, die das Laden von dynamischen Inhalten beschränken.

Übersicht der nötigen Schritte zu einem Drive-by-Download:

1. Zugriff auf einen Websever, um eine seriöse Webseite zu manipulieren (via SQL-Injektion, SSH-Bruteforce, Server-Exploits, etc.)

2. Erweitern der bestehenden Webseite durch hinterlassen eines Redirect-Skriptes

3. Eventuelles unkenntlich machen des Javacodes durch Obfuscation-Methoden

4. Bereitstellen eines Skriptdownloaders (Javacode oder Exploit), auf den das Redirect-Java-Skript verweist.

5. Dezentrale Bereitstellung von Trojaner- oder Bot-Sofware, die durch die Exploits bzw. den Javacode heruntergeladen und ausgeführt wird.

Inhalt

  • Seite 1: Wie ein Drive-by-Download funktioniert
  • Seite 2: Abwehr und Erkennung von Drive-by-Downloads
  • Seite 3: Drive-by-Download am Beispiel einer Bank-Homepage

(ID:2050232)