Malware via Online Banking Der Drive-by-Download – schwer zu erkennen und brandgefährlich

Autor / Redakteur: Martin Dombrowski / Stephan Augsten

Drive-by-Downloads sind eine gängige Angriffsform, um Malware an ahnungslose Anwender zu verteilen. Anstatt Webseiten mit Malware zu erstellen, manipulieren Cyber-Kriminelle lieber bekannte Webseiten, so dass diese Schadcode verteilen. Dieser Artikel beleuchtet den Drive-by-Download anhand eines aktuellen Beispiels aus der Realität.

Firma zum Thema

Auf der Überholspur: Drive-by-Downloads werden bei Cyber-Kriminellen immer beliebter.
Auf der Überholspur: Drive-by-Downloads werden bei Cyber-Kriminellen immer beliebter.
( Archiv: Vogel Business Media )

Bei einem Drive-by-Download infizieren Anwender sich schon beim bloßen Besuch einer Webseite. Die Homepage muss hierfür nicht einmal unseriöser Herkunft sein. Es kommt sehr oft vor, dass populäre Webseiten entsprechend manipuliert werden um Schadcode zu verteilen.

In diesen Fällen reicht es schon aus, wenn durch Cyberkriminelle ein Redirect-Skript platziert wurde. Diese Redirect-Skripte werden meisten als codierter Javacode oder in einem iFrame hinterlegt.

Bildergalerie

Durch dieses Script wird der Anwender auf einen sogenannten Skript-Downloader umgeleitet, der wiederum einige Exploits ausführt. War einer der Exploits erfolgreich, so wird auf dem Anwendersystem ein Bot oder Trojaner installiert.

Ist ein Drive-by-Download Browser-abhängig?

Aktuelle Drive-by-Downloads sind nicht browserabhängig, da sie mehrstufig aufgebaut sind und sich sogenannten Browserweichen bedienen. Es gibt Beispiele, bei denen anhand einer Browserweiche gefälschte Browser-Warnmeldungen ausgegeben werden, die den Anwender täuschen sollen.

Eine andere Form der Browserunabhängigkeit kann durch den Einsatz von Exploits für Browser-Plug-ins erreicht werden. Plug-ins wie zum Beispiel ein PDF-Viewer werden meistens browserübergreifend genutzt. Zudem nimmt die Verbreitung von Malware, die in der Plattform-unabhängigen Programmiersprache Java geschrieben ist weiterhin zu. Diese Schädlinge ersetzen zumeist die bei Drive-by-Downloads genutzten Exploits.

Inhalt

  • Seite 1: Wie ein Drive-by-Download funktioniert
  • Seite 2: Abwehr und Erkennung von Drive-by-Downloads
  • Seite 3: Drive-by-Download am Beispiel einer Bank-Homepage

Abwehr und Erkennung von Drive-by-Downloads

Bis auf ein eventuelles Abstürzen des Browser beziehungsweise des Plug-ins bemerkt ein Anwender im Allgemeinen nichts von einer Drive-By-Infektion. Die dadurch installierte Schadsoftware verhält sich meist unauffällig.

Eine Ausnahme hierbei ist die sogenannten Scareware, die den Anwender mit Warnungen vor vorhanden Gefahren überhäuft und zu dem Kauf eines Fake-Antivirenscanners rät. Zudem ist es nicht möglich, eine präparierte Webseite auf den ersten Blick zu erkennen. Falls ein iFrame zum Einschleusen verwendet wird, so wird dies durch die Nutzung einer Breite und Höhe von 0 Pixeln meist versteckt.

Wird durch den Anwender ein sich neu öffnendes Popup direkt geschlossen kann es schon zu spät sein, jedoch ist man nicht komplett hilflos. Der Anwender sollte seine Browser und darin genutzte Plugins stets aktuell halten und zudem auf Erweiterungen wie zum Beispiel NoScript zurückgreifen, die das Laden von dynamischen Inhalten beschränken.

Übersicht der nötigen Schritte zu einem Drive-by-Download:

1. Zugriff auf einen Websever, um eine seriöse Webseite zu manipulieren (via SQL-Injektion, SSH-Bruteforce, Server-Exploits, etc.)

2. Erweitern der bestehenden Webseite durch hinterlassen eines Redirect-Skriptes

3. Eventuelles unkenntlich machen des Javacodes durch Obfuscation-Methoden

4. Bereitstellen eines Skriptdownloaders (Javacode oder Exploit), auf den das Redirect-Java-Skript verweist.

5. Dezentrale Bereitstellung von Trojaner- oder Bot-Sofware, die durch die Exploits bzw. den Javacode heruntergeladen und ausgeführt wird.

Inhalt

  • Seite 1: Wie ein Drive-by-Download funktioniert
  • Seite 2: Abwehr und Erkennung von Drive-by-Downloads
  • Seite 3: Drive-by-Download am Beispiel einer Bank-Homepage

Drive-by-Download am Beispiel einer Bank-Homepage

Erst kürzlich wurde auf der Website einer indischen Bank eine entsprechende Schadfunktion entdeckt. Auf eine namentliche Nennung des Kreditinstituts verzichtet Security-Insider.de, da die Webseite nach wie vor das Redirect-Skript enthält.

Auf den ersten Blick erscheint die Startseite der Bank unverändert. Wirft man jedoch einen Blick auf den Source Code (siehe Bilder), so ist zu erkennen, dass gegen Ende des Seitenquelltextes ein recht langes Javascript mit viel kryptischem Text angehängt wurde. Bei diesem Skript handelt es sich um ein sogenanntes „Multilevel Obfuscated Javascript“.

Nachfolgend ein Auszug aus dem Seitenquelltext:

Nach Ausführung der Funktion im Javacode ist folgende Funktion zu erkennen:

function show pop(){var pop_wnd = „http://dldslaunxxx.com/ld/ment/“;…

Das beschriebene Javascript umfasst zwei Teile, nämlich einen kryptischen Textblock und eine komplexere Funktion. Hierbei hat die Funktion keine andere Aufgabe, als aus dem kryptischen Teil normal ausführbaren Javacode zu erstellen. Dieser Code nennt sich daher „multilevel obfuscated“, da die Verschlüsselungsfunktion eine geschachtelte Verschleierungsmethode nutzt.

Bei dem vorliegenden Beispiel ruft der Javacode ein Popup-Fenster auf, das Inhalte einer anderen Webseite nachlädt. Dieser Javacode wird laut Virustotal von 24 aus 43 AV-Herstellern als schadhaft erkannt.

Die durch das Popup-Fenster nachgeladene Webseite führt aktuell nur zu einer geparkten URL ohne schadhaften Code. Es kann davon ausgegangen werden, dass diese Domain zu Beginn des Angriffs dennoch Schadcode enthielt.

Inhalt

  • Seite 1: Wie ein Drive-by-Download funktioniert
  • Seite 2: Abwehr und Erkennung von Drive-by-Downloads
  • Seite 3: Drive-by-Download am Beispiel einer Bank-Homepage

(ID:2050232)