:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/d7/a7/d7a74fc125765e3aaa4a1cd46952f036/0109587894.jpeg "Checkmarx Supply Chain Threat Intelligence kombiniert Threat Intelligence mit Machine Learning, Retro Hunting und Cross-Language Hunting. (Bild: Checkmarx)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/83/cb/83cbc8b48e4cbb70cf7ec5bd5880d9cc/0110309438.jpeg "Mit einem Zero-Trust-Konzept, einem intensiven Monitoring aller Datenströme und einer Single Sign-On (SSO)-Authentifizierungsmethode lassen sich die neuen Anforderungen der Arbeitswelt mit denen der IT-Security in Einklang bringen. (Bild: peshkov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7e/67/7e67a44843941beee4d1a47ad333a80b/0109769083.jpeg "Im Projekt entwickeln die Forscher Technologien zur drahtlosen Quantenkommunikation zwischen mehreren Geräten innerhalb eines Raumes. (Bild: © – metamorworks – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/cc/4cccb0da2d73a5ae0728d58e59140aaf/0110379345.jpeg "Native Cloud-Technologien ermöglichen es Unternehmen, die Flexibilität zu nutzen, die erforderlich ist, um in der aktuellen Wettbewerbslandschaft mithalten und neue Geschäftsmodelle entwickeln zu können. (Bild: kanpisut - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/94/29/942929c3785964880e17ce7285b47044/0109553991.jpeg "Auch wenn der Quellcode für die ganze Welt offen ist, ist Open-Source-Code nicht frei von Nutzungsbeschränkungen. (Bild: © – cacaroot – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/fc/cffcdb017034d5478cacf1bcb30a7665/0109349789.jpeg "Um die Sicherheit von Daten und Systemen zu erhöhen und das Risiko von Angriffen oder Datenverlust zu reduzieren sollten Berechtigungen auf das absolut notwendige Minimum beschränkt werden. (Bild: frei lizenziert Fernando Arcos - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/48/084856af2569f600d6a8ddc908e286b4/0110345761.jpeg "„Unternehmen, die in ihre Mitarbeiter investieren, haben immer die Nase vorn, besonders in schwierigen Zeiten.“ sagt Erik Gaston, VP Global Executive Engagement bei Tanium. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Malware via Online Banking Der Drive-by-Download – schwer zu erkennen und brandgefährlich
Drive-by-Downloads sind eine gängige Angriffsform, um Malware an ahnungslose Anwender zu verteilen. Anstatt Webseiten mit Malware zu erstellen, manipulieren Cyber-Kriminelle lieber bekannte Webseiten, so dass diese Schadcode verteilen. Dieser Artikel beleuchtet den Drive-by-Download anhand eines aktuellen Beispiels aus der Realität.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107800/107800/65.jpg "SonicWall_Registered-2C.JPG ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Bei einem Drive-by-Download infizieren Anwender sich schon beim bloßen Besuch einer Webseite. Die Homepage muss hierfür nicht einmal unseriöser Herkunft sein. Es kommt sehr oft vor, dass populäre Webseiten entsprechend manipuliert werden um Schadcode zu verteilen.
In diesen Fällen reicht es schon aus, wenn durch Cyberkriminelle ein Redirect-Skript platziert wurde. Diese Redirect-Skripte werden meisten als codierter Javacode oder in einem iFrame hinterlegt.
Durch dieses Script wird der Anwender auf einen sogenannten Skript-Downloader umgeleitet, der wiederum einige Exploits ausführt. War einer der Exploits erfolgreich, so wird auf dem Anwendersystem ein Bot oder Trojaner installiert.
Ist ein Drive-by-Download Browser-abhängig?
Aktuelle Drive-by-Downloads sind nicht browserabhängig, da sie mehrstufig aufgebaut sind und sich sogenannten Browserweichen bedienen. Es gibt Beispiele, bei denen anhand einer Browserweiche gefälschte Browser-Warnmeldungen ausgegeben werden, die den Anwender täuschen sollen.
Eine andere Form der Browserunabhängigkeit kann durch den Einsatz von Exploits für Browser-Plug-ins erreicht werden. Plug-ins wie zum Beispiel ein PDF-Viewer werden meistens browserübergreifend genutzt. Zudem nimmt die Verbreitung von Malware, die in der Plattform-unabhängigen Programmiersprache Java geschrieben ist weiterhin zu. Diese Schädlinge ersetzen zumeist die bei Drive-by-Downloads genutzten Exploits.
Inhalt
- Seite 1: Wie ein Drive-by-Download funktioniert
- Seite 2: Abwehr und Erkennung von Drive-by-Downloads
- Seite 3: Drive-by-Download am Beispiel einer Bank-Homepage
Abwehr und Erkennung von Drive-by-Downloads
Bis auf ein eventuelles Abstürzen des Browser beziehungsweise des Plug-ins bemerkt ein Anwender im Allgemeinen nichts von einer Drive-By-Infektion. Die dadurch installierte Schadsoftware verhält sich meist unauffällig.
Eine Ausnahme hierbei ist die sogenannten Scareware, die den Anwender mit Warnungen vor vorhanden Gefahren überhäuft und zu dem Kauf eines Fake-Antivirenscanners rät. Zudem ist es nicht möglich, eine präparierte Webseite auf den ersten Blick zu erkennen. Falls ein iFrame zum Einschleusen verwendet wird, so wird dies durch die Nutzung einer Breite und Höhe von 0 Pixeln meist versteckt.
Wird durch den Anwender ein sich neu öffnendes Popup direkt geschlossen kann es schon zu spät sein, jedoch ist man nicht komplett hilflos. Der Anwender sollte seine Browser und darin genutzte Plugins stets aktuell halten und zudem auf Erweiterungen wie zum Beispiel NoScript zurückgreifen, die das Laden von dynamischen Inhalten beschränken.
Übersicht der nötigen Schritte zu einem Drive-by-Download:
1. Zugriff auf einen Websever, um eine seriöse Webseite zu manipulieren (via SQL-Injektion, SSH-Bruteforce, Server-Exploits, etc.)
2. Erweitern der bestehenden Webseite durch hinterlassen eines Redirect-Skriptes
3. Eventuelles unkenntlich machen des Javacodes durch Obfuscation-Methoden
4. Bereitstellen eines Skriptdownloaders (Javacode oder Exploit), auf den das Redirect-Java-Skript verweist.
5. Dezentrale Bereitstellung von Trojaner- oder Bot-Sofware, die durch die Exploits bzw. den Javacode heruntergeladen und ausgeführt wird.
Inhalt
- Seite 1: Wie ein Drive-by-Download funktioniert
- Seite 2: Abwehr und Erkennung von Drive-by-Downloads
- Seite 3: Drive-by-Download am Beispiel einer Bank-Homepage
Drive-by-Download am Beispiel einer Bank-Homepage
Erst kürzlich wurde auf der Website einer indischen Bank eine entsprechende Schadfunktion entdeckt. Auf eine namentliche Nennung des Kreditinstituts verzichtet Security-Insider.de, da die Webseite nach wie vor das Redirect-Skript enthält.
Auf den ersten Blick erscheint die Startseite der Bank unverändert. Wirft man jedoch einen Blick auf den Source Code (siehe Bilder), so ist zu erkennen, dass gegen Ende des Seitenquelltextes ein recht langes Javascript mit viel kryptischem Text angehängt wurde. Bei diesem Skript handelt es sich um ein sogenanntes „Multilevel Obfuscated Javascript“.
Nachfolgend ein Auszug aus dem Seitenquelltext: