Tool schützt vor Drive-by-Downloads

BLADE verhindert unbemerkte Malware-Downloads

Informatiker des Georgia Institute of Technology und des Forschungsinstituts SRI International haben ein Tool entwickelt, das sogenannten Drive-by-Downloads den Kampf ansagt. Dabei handelt es sich um Malware-Installationen, die beim Besuch verseuchter Webseiten unbemerkt mithilfe von Sicherheitslücken in Browser oder Plug-ins erfolgen.

Die Schutz-Software namens "BLADE" (Block All Drive-by download Exploits) soll demnächst veröffentlicht werden. Drive-by-Downloads sind heute eine der größten Bedrohungen im Internet. Sie lauern nicht nur auf dubiosen Seiten, sondern erfolgen oft auch über eigentlich seriöse, aber von Hackern unterwanderte Webangebote. BLADE geht nun von der Annahme aus, dass legitime Downloads nur als Resultat expliziter Nutzer-Zustimmung erfolgen, um so vor unliebsamen Überraschungen zu schützen.

"Wenn dem Browser eine ausführbare Datei zum Download angeboten wird, sollte er den User fragen, was passieren soll", betont Phil Porras, Programmdirektor bei SRI, gegenüber Technology Review. Doch können Angreifer mithilfe von Sicherheitslücken Abfragen umgehen, sodass Schadsoftware unbemerkt installiert wird. Hier setzt BLADE an, indem jeder Download, den der User nicht explizit bestätigt hat, abgefangen wird.

"Das Problem, das ich hier sehe, ist dass BLADE offenbar lediglich den Nutzer fragt", gibt sich Ralf Benzmüller, Leiter der G Data SecurityLabs, gegenüber pressetext skeptisch. Den User zu fragen habe schon bei Firewalls, Makroviren und E-Mailanhängen nicht geklappt. "Aufmerksame und sicherheitsbewusste Nutzer mit entsprechendem Computerwissen können davon aber sicher profitieren", meint Benzmüller. Dass BLADE nicht vor Social-Engineering-Tricks schützen kann, die User zur willentlichen Installation schädlicher Software verleiten, räumt Porras indes auch selbst ein.

Um zu zeigen, dass BLADE unabhängig vom Browser und der genutzten Schwachstelle funktioniert, wird das Tool von den Informatikern mit verschiedenen Systemkonfigurationen getestet. Den Statistiken der Forscher zufolge wurden dabei bislang über 5500 Infektionen von mehr als 1300 verschiedenen Drive-by-URLs verhindert, ohne dass sich eine einzige Malware hätte an BLADE vorbeischmuggeln können. Zum Vergleich wurden die schädlichen Dateien bei VirusTotal eingereicht, das rund 40 verschiedenen AV-Programmen berücksichtigt. Diese haben nur in etwas mehr als einem Viertel der Fälle eine Bedrohung erkannt.

Besonders beliebt ist bei Hackern offenbar der Adobe Reader. Denn mehr als die Hälfte der von den Informatikern erfassten Drive-by-Exploits zielen auf Schwachstellen in diesem Programm ab. Mit knapp einem Viertel der Angriffe liegt Java an zweiter Stelle, den Rest teilen sich Internet Explorer und Flash. Gehostet werden die Exploits der BLADE-Test-Statistik zufolge besonders häufig in der Ukraine, die mit über 40 Prozent die USA und Großbritannien (je rund 18 Prozent) klar auf die Plätze verweist. (pte/hal)