Warum Hacker immer öfter JavaScript-Attacken durchführen

Die Seite wird erstellt Kjell Bock

Wissenschaft

Deutsch

Like
Teilen
Einbetten
Vollbild
Folien
HTML Herunterladen
PDF Herunterladen
Missbrauch

←

WEITER LESEN

→

Transkription von Seiteninhalten

Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten

Warum Hacker immer öfter
JavaScript-Attacken durchführen

Angriffe auf Websites sind heutzutage ein lukratives Unterfangen.
In der Vergangenheit infizierten Hacker Websites vornehmlich, um
Aufsehen zu erregen oder ihre Fähigkeiten unter Beweis zu stellen.
Heute jedoch geht es nur noch um eines: finanzielle Bereicherung.
Ahnungslose User können leicht und effektiv über das Internet erreicht
werden.

Die Vorgehensweise der Hacker ist dabei sehr raffiniert. So wird
Malware nun beispielsweise durch Inline-JavaScript-Injektionen im
Web verbreitet.

Erfahren Sie mehr über die von JavaScript-Angriffen ausgehenden
Risiken und die Funktionsweise solcher Attacken. Lesen Sie, wie
Cyberkriminelle daraus Profit schlagen und warum IT-Managern zu
Vorsicht geraten wird.

Sophos White Paper – Dezember 2010

Warum Hacker immer öfter
JavaScript-Attacken durchführen

So erreichen Cyberkriminelle ihre Opfer

Da die meisten Unternehmen ihren E-Mail-Verkehr Selbst technisch versierte User sind dem Irrglauben
schützen, lässt sich Malware nicht mehr so leicht verfallen, dass sie vor Infektionen gefeit sind, sofern sie
über E-Mail verbreiten. Aus diesen Gründen verbreiten bestimmte Regeln befolgen. So kursieren etwa folgende
Cyberkriminelle schädliche Inhalte nun primär über das Mythen über sicheres Surfen:
Internet. Die SophosLabs melden täglich ca. 50.000 • Nur naive Benutzer infizieren sich mit Malware und
neue infizierte Webseiten. Viren.
• Sie können nur beim Download von Dateien infiziert
Das Internet bietet sich vor allem aus den drei werden.
folgenden Gründen als Angriffsvektor an: • Nur Porno-, Glücksspiel- und andere unseriöse
• Globale Reichweite – Bedrohungen gelangen überall Websites sind gefährlich.
dahin, wo im Internet gesurft wird. • Sie können nur durch Anklicken eines schädlichen
• Einfache Infektion – Benutzer können leicht Links infiziert werden.
überlistet werden und Systeme sind angreifbar.
• Unzureichende Mechanismen – traditionelle Gewiss empfiehlt es sich, fragwürdige Seiten zu meiden
Methoden bieten keinen sicheren Schutz vor und Links aus unbekannten Quellen nicht anzuklicken.
modernen Web-Angriffen. Dennoch lauern Infektionsgefahren eben nicht nur auf
obskuren Websites. Auch auf den Seiten bekannter
Viele User gehen beim Surfen davon aus, dass Unternehmen (darunter auch Sicherheitsfirmen) wurde
Websites renommierter Unternehmen keine Risiken bereits Malware gehostet oder die Seiten wurden so
bergen. Statistiken zur Cyberkriminalität widerlegen manipuliert, dass User zu Schad-Seiten umgeleitet
diese Annahme jedoch. So wird nämlich im Schnitt wurden.
eine von 150 legitimen Seiten mit Malware infiziert.
Ferner handelt es sich bei mehr als 80 % der infizierten
Websites um legitime Seiten.

Sophos White Paper – Dezember 2010 2

Warum Hacker immer öfter
JavaScript-Attacken durchführen

So funktioniert schädliches JavaScript: Ablauf von JavaScript-Angriffen
"Drive-by-Downloads"
Wie verfahren Hacker bei JavaScript-Angriffen?
Die Programmiersprache JavaScript nimmt heute • Zunächst wird Code in seriöse Websites injiziert.
eine zentrale Stellung im Internet ein und bietet Dabei handelt es sich beispielsweise um Inlineframe-
sich daher als Infektionsvektor an. Besonders häufig HTML-Elemente oder ein Inline-Skript. In letzter Zeit
ist dabei im Browser integriertes, clientseitiges nehmen Skripts jedoch Überhand.
JavaScript zur Verbesserung von Benutzeroberflächen • Wenn ein User die manipulierte Website aufruft,
und dynamischen Websites. Aufgrund der weiten lädt der Browser aufgrund des injizierten Codes
Verbreitung von Web 2.0 ist JavaScript unabdingbar unbemerkt schädliche Inhalte von einer anderen
geworden. Remote-Website. Die Opfer sind ahnungslos.
• In der Regel setzen sich die geladenen Inhalte
Diesen Umstand nutzen Malware-Autoren aus. aus mehreren Komponenten zusammen, die
Sie greifen beliebte, seriöse Websites an und Sicherheitsanfälligkeiten auf Client-Seite ausnutzen.
leiten ahnungslose User unbemerkt auf Schad- Hierbei kann es sich beispielsweise um eine
Websites weiter. Die Infektion nimmt ihren Lauf. Mischung aus HTML-, JavaScript-, Flash-, PDF-
Wenn User die Schad-Websites aufrufen, werden und Java-Inhalte handeln. Die Gruppierung und
Sicherheitsanfälligkeiten auf Client-Seite durch weitere Verwaltung der Inhalte erfolgt über einen Kit, das so
Skripts ausgenutzt. genannte „Exploit-Paket“.
• Die Exploit-Pakete werden dann an Kriminelle
Mit injiziertem Inline-JavaScript lässt sich die verkauft, die Malware verbreiten möchten.
Weiterleitung auf andere Websites besser verschleiern
als mit anderen Methoden, wie etwa Iframe-Attacken. Bemerkenswert ist hierbei, dass kein Social Engineering
Schädliche JavaScript-Angriffe haben in den letzten drei erforderlich ist. User müssen keine Links in E-Mails
bis vier Jahren nicht nur an Häufigkeit, sondern auch anklicken oder fragwürdige Websites aufrufen. Sie
an Komplexität zugenommen. müssen lediglich eine manipulierte legitime Website
besuchen.
Cyberkriminelle verbreiten Malware heute fast
ausschließlich über das Internet, und alle paar Der Schadcode ist für die User unsichtbar, wird jedoch
Sekunden werden neue Website-Infektionen festgestellt. ausgeführt, sobald der Browser die Webseite lädt. In
Wenn JavaScript injiziert wird, können Hacker den der Regel bezieht der Code dann über weitere Skripts
Browser ihrer Opfer unbemerkt umleiten und von einem Malware-Komponenten, die auf bekannte Exploits im
Remote-Server Inhalte und Malware laden. Diese so Browser oder im Betriebssystem abzielen und das
genannten Drive-by-Downloads setzen Unternehmen System infizieren, in ein Botnet umwandeln oder Daten
und Enduser beträchtlichen Sicherheitsrisiken aus. stehlen.

Da bereits Internetauftritte sämtlicher Art – von
Regierungs-Websites über Bildungseinrichtungen bis
hin zu beliebten Nachrichtenportalen, Blogs und Social-
Networking-Websites – erfolgreich manipuliert wurden,

Sophos White Paper – Dezember 2010 3

Warum Hacker immer öfter
JavaScript-Attacken durchführen

sollte das Schadenspotenzial dieser Angriffe nicht unerwünschtes oder unerwartetes Softwareverhalten
unterschätzt werden. auslösen. Hierbei erlangt der Angreifer häufig die
Kontrolle über ein Computersystem.
Da Anbieter von Security-Software ihre Produkte • Einbinden von Schadcode in legitime Websites,
regelmäßig mit neuen Erkennungsmechanismen um User-Traffic nach Belieben umzuleiten. Da sich
für schädlichen Web-Code ausstatten, müssen die Weiterleitung über den injizierten Code steuern
Cyberkriminelle ihren Schadcode, um einer Enttarnung lässt, können Cyberkriminelle Traffic gewissermaßen
zu entgehen, ständig modifizieren. Hacker nutzen hierzu "verkaufen".
JavaScript, da sich damit der Code mit dem Payload • Gewinne aus dem installierten Payload der
verbergen oder verschleiern lässt. Malware. Geld verdienen die Kriminellen hierbei mit
Datendiebstahl und Botnets, die automatisch und
unabhängig laufen und Spam versenden oder DoS-
Manipulation von SEO Attacken auf Remote-Ziele durchführen.
SEO-Angriffe sind eine weitere Methode, derer sich • Ausnutzen von Zero-Day-Sicherheitslücken. Angreifer
Cyberkriminelle bedienen, um Computer mit Malware zu investieren große Summen in Informationen
infizieren. Sie unterscheiden sich von klassischen Drive-by- zu Zero-Day-Sicherheitslücken. Entsprechende
Angriffen. Bei SEO-Angriffen, auch als SEO-Poisoning bekannt, Exploits werden schon ausgenutzt oder verbreitet,
werden Suchergebnisse mit dem Ziel manipuliert, User-Traffic auf bevor der Softwareanbieter überhaupt von der
eine Schad-Website umzuleiten. Laut Angaben von Google sind Sicherheitslücke erfährt. Manche Hacker haben
bis zu 1,3 % der Suchergebnisse der Seite betroffen. Bei SEO- sich darauf spezialisiert: Sie suchen nach neuen
Poisoning werden User also über eine manipulierte Suche auf Sicherheitslücken und bieten diese Informationen auf
eine Schad-Website umgeleitet. dem Schwarzmarkt feil.
• Missbrauch von Affiliate-Marketing-Programmen
mit illegalem Traffic. Affiliate-Marketing, bei dem
So profitieren Cyberkriminelle von den Angriffen Vertriebspartner entlohnt werden, wenn sie Kunden
auf eine Unternehmenswebsite verweisen, wird
Noch vor fünf Jahren verschafften sich Hacker lediglich kaum kontrolliert. Skrupellose Vertriebspartner leiten
zum Nachweis der Machbarkeit oder aus Geltungsdrang Traffic mit Hilfe von Spam, gefälschter Werbung,
illegal Zugang auf andere Computer. Jetzt steht erzwungenen Klicks (zum Einschleusen von
hingegen die finanzielle Bereicherung im Vordergrund. Tracking-Cookies auf den Computern der User),
Hacker können sich Investitionen leisten, da diese sich Adware und sonstigen Methoden an ihre Sponsoren
meist auszahlen. Aus solchen Angriffen lässt sich auf weiter.
unterschiedliche Weise Profit schlagen, wie etwa:
Die Tendenz geht immer mehr zur Verwendung
• Verkauf von Exploit-Kits oder von Funktionen mehrerer Payloads, d.h. unterschiedlicher Malware-
der Kits an andere Kriminelle. Bei einem Exploit Arten, um Daten zu sammeln. Ferner nehmen
handelt es sich um Software, einen Datenblock auch spezifische gezielte Angriffe zu. So greifen
oder eine Befehlsfolge, die sich Bugs, Design-Fehler Hacker beispielsweise einen Mitarbeiter der
oder Sicherheitslücken zu Nutze machen und so Personalabteilung gezielt an und verschaffen sich

Sophos White Paper – Dezember 2010 4

Warum Hacker immer öfter
JavaScript-Attacken durchführen

Daten und Informationen zu anderen Mitarbeitern In den Augen der Besucher einer manipulierten Website
des Unternehmens. Anhand der gewonnenen Daten ist der Seitenbetreiber, also unter Umständen auch
werden Angriffe gezielt so ausgearbeitet, dass das Opfer Ihr Unternehmen, für Infektionen verantwortlich. Dies
wahrscheinlich reagiert. kann den Ruf Ihres Unternehmens schädigen und zu
Negativschlagzeilen sowie einem Vertrauensverlust
Welchen Einfluss haben solche Angriffe auf seitens Kunden, Partnern und Investoren führen.
Ihren Geschäftsbetrieb?
Wir haben nun also erfahren, warum sich schädliches
JavaScript-Attacken wirken sich auf unterschiedliche JavaScript solch großer Beliebtheit bei Cyberkriminellen
Weise auf Ihr Unternehmen aus. IT-Führungskräfte erfreut und warum vor den Angriffen geschützt werden
müssen wachsam sein und das Unternehmen vor muss.
solchen Übergriffen schützen. Dabei gilt es vor allem,
die beiden folgenden Faktoren zu beachten:
• User werden Opfer von Malware – von Ihnen
verwaltete Systeme sind anfällig für Infektionen
durch Drive-by-Downloads, SEO-Poisoning und
mehr.
• Manipulierte Websites – von Ihnen verwaltete
Websites können angegriffen werden, so dass Sie
ohne Ihr Wissen Kunden in Gefahr bringen, die Ihre
Website aufrufen.

Beide Faktoren können dem Unternehmen
beträchtlichen Schaden zufügen: Es drohen finanzielle
Verluste, Produktionsausfälle, Rufschädigung und
Datendiebstahl. Die Wiederherstellung der Computer
nach Malware-Befall ist mit einem großen Zeit- und
Kostenaufwand verbunden. Zudem müssen Mitarbeiter
verlorene Arbeitszeit ausgleichen. Unter Umständen
werden Dateien beschädigt.

Doch die Konsequenzen reichen noch weiter: Auch die
Integrität der Daten kann beeinträchtigt werden. Wenn
Malware auf den Computern der Opfer ausgeführt
wird, können Hacker Remote-Zugriff auf die Computer
erlangen, Daten stehlen und weitere Malware
einschleusen.

Sophos White Paper – Dezember 2010 5

Warum Hacker immer öfter
JavaScript-Attacken durchführen

Weitere Informationen

Malware with your Mocha – technischer Hintergrund zu den aktuellen JavaScript-Attacken

Quellen

Sophos Security Threat Report: Halbjahresbericht 2010
http://www.sophos.com/security/technical-papers/modern_web_attacks.html
http://www.sophos.com/security/technical-papers/malware_with_your_mocha.html
http://www.sophos.com/security/technical-papers/sophos-securing-websites.html
http://nakedsecurity.sophos.com/?s=malicious+javascript&x=0&y=0

Boston, USA | Oxford, UK
© Copyright 2010. Sophos Limited. Alle Rechte vorbehalten.
Alle Marken sind Eigentum ihres jeweiligen Inhabers.

Sie können auch lesen