Malware-Angriff durch die webbasierte Hintertür

Reputation statt Antivirus-Software, URL-Filter und Blacklisting

06.05.2008 | Autor / Redakteur: Irmgard Schlembach / Stephan Augsten

Auf Senderbase.org kann sich jeder Internet-User über aktuelle webbasierte Bedrohungen sowie die Seriösität von Domänen und IP-Adressen informieren. (Quelle: Ironport)
Auf Senderbase.org kann sich jeder Internet-User über aktuelle webbasierte Bedrohungen sowie die Seriösität von Domänen und IP-Adressen informieren. (Quelle: Ironport)

Webapplikationen sind laut einer aktuellen Studie der Gartner-Analysten im Jahr 2008 die Quelle Nummer eins für Malware in den Unternehmen. Das belegt der Trendreport der Cisco-Tochter Ironport mit besorgniserregenden Ergebnissen: So ist etwa die Zahl der URL-basierten Angriffe im Vergleich zum Vorjahr um 256 Prozent gestiegen. Doch Anwender können sich durch kombinierte Sicherheitstechnologien mit reputationsbasierten Verfahren vor der Kombination aus E-Mail-Spam und Web-Bedrohungen schützen.

Die Wege, auf denen Malware in die Netzwerke kommt, werden immer verschlungener – und Spam hat dabei eine Schlüsselfunktion. Neuer E-Mail-Spam enthält nur wenig Text, dafür aber einen Link auf scheinbar seriöse Webseiten. Doch wer dort Aktien- oder Geschenktipps sucht, wird Malware finden. Experten nennen diese Art unerwünschter Nachrichten „Dirty Spam“, da sie primär darauf abzielt, weitere PCs zu infizieren.

Ein Beispiel sind die seit Anfang März vermehrt aufgetretenen Spam-Attacken, die Weiterleitungsmechanismen wie beispielsweise „Open Redirect“ oder „Auf gut Glück“-Technologien der Suchmaschine Google nutzen. Der einzelne Link in der Spam-Nachricht führt dabei zwar zu einer legitimen Google-URL, diese leitet den User aber sofort durch die in der URL enthaltene, eindeutige Suchanfrage automatisch auf eine infizierte Website weiter

Betroffen sind neben Google auch Yahoo! und AOL. „Solche Weiterleitungsmechanismen und somit möglicherweise bedenkliche Google-Links erkennen User an enthaltenen Parametern wie ‚search?‘ gefolgt von einer unbekannten Zieladresse“, erklärt Reiner Baumann, Geschäftsführer von Ironport Deutschland. „Derzeit machen diese Open URL Redirect-Attacken ein Prozent des gesamten Spamvolumens aus, die Tendenz ist aber – Prognosen unseres Threat Operation Centers zufolge – definitiv steigend.“

Zombies in der Realität

Allein durch den Besuch einer infizierten Seite infiziert sich der Computer und wird zum Zombie (auch: Bot). Der User merkt in den seltensten Fällen, dass er gerade Teil eines riesigen Botnetzes geworden ist. Sein PC verschickt nun selbst fleißig Spam – auf Anweisungen von Command-and-Control-Netzwerken.

Jeder Computer in diesen Botnetzen erzeugt also automatisch weiteren Spam, der einen Link zu der verseuchten Zielseite enthält. Damit verbreitet sich die Malware-infizierte Website quasi eigenständig und baut das Netzwerk immer weiter aus. Es wird vermutet, dass heutzutage sieben Prozent aller Computer mit Internetzugang (etwa 75 bis 100 Millionen PCs) schon Teil eines solchen Botnetzes sind.

Expertenschätzungen zufolge sind von den derzeit mehr als zehn Milliarden aktiven Webseiten zwischen zwei und zehn Prozent verseucht. Vor allem die vielfältigen Einfallstore und koordinierten Attacken auf mehreren Kommunikationsprotokollen stellen aktuell die größte Herausforderung dar. Zu den Konsequenzen gehören nicht nur der Verlust von vertraulichen Daten durch Spyware, sondern auch Systemausfälle, verminderte Arbeitsproduktivität und höhere Support-Kosten.

Seite 2: Schwächen gewöhnlicher Security-Lösungen

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2012576 / Endpoint)