Tool schützt vor Drive-by-Downloads

BLADE verhindert unbemerkte Malware-Downloads

22.02.2010 von pte pte

Informatiker des Georgia Institute of Technology und des Forschungsinstituts SRI International haben ein Tool entwickelt, das sogenannten Drive-by-Downloads den Kampf ansagt. Dabei handelt es sich um Malware-Installationen, die beim Besuch verseuchter Webseiten unbemerkt mithilfe von Sicherheitslücken in Browser oder Plug-ins erfolgen.

Die Schutz-Software namens "BLADE" (Block All Drive-by download Exploits) soll demnächst veröffentlicht werden. Drive-by-Downloads sind heute eine der größten Bedrohungen im Internet. Sie lauern nicht nur auf dubiosen Seiten, sondern erfolgen oft auch über eigentlich seriöse, aber von Hackern unterwanderte Webangebote. BLADE geht nun von der Annahme aus, dass legitime Downloads nur als Resultat expliziter Nutzer-Zustimmung erfolgen, um so vor unliebsamen Überraschungen zu schützen.

Statistiken über den Einsatz von Drive-by-Download

Drive-by - Browser Infection Rate (Quelle: blade-defender.org)
Den größten Anteil aller von Drive-by-Downloads infizierten Browsern nimmt immer noch der Internet Explorer 6 ein, der in vielen Firmen immer noch als Standardbrowser verwendet wird.

Drive-by - Applications Targeted (Quelle: blade-defender.org)
Drive-by-Downloads wählen weit verbreitete Plugins als Ziel ihrer Attacken. Daher ist es nicht verwunderlich, dass die meisten Attacken auf die beiden Adobe Plugins Flash und Reader ausgerichtet sind.

Drive-by - Top 12 Countroes Serving (Quelle: blade-defender.org)
Als Hauptausgangspunkt aller Drive-by-Attacken dient die Ukraine. Von hier aus beginnen rund 40% aller weltweiten Angriffe. Aus Deutschland werden nur 1,7% der Überfälle gestartet.

Drive-by - AV Detect Rate (Quelle: blade-defender.org)
Antiviren Sofware tut sich aktuell noch mit der Erkennung von Drive-by-Downloads schwer. Daher resultiert auch die schlechte Rate von 72,8%, in denen die Sicherheitslösungen keinen Alarm schlagen.

Drive-by - Top 12 Malware Families (Quelle: blade-defender.org)
Der Trojaner TR/Dldr.Sinowal.A erlangt mit 8,5% Anteil die größte Einzelverbreitung durch Drive-by-Sicherheitslücken. Einen eindeutigen Profiteur unter den Viren gibt es jedoch nicht, fast 50% des "Gesamtmarktes" entfallen auf andere Schadsoftware.

Drive-by - Used Exploit Kits (Quelle: blade-defender.org)
Zusammen entfallen auf die beiden Exploit Kits Justexploit und Eleonore fast 90% aller Drive-by-Attacken.

"Wenn dem Browser eine ausführbare Datei zum Download angeboten wird, sollte er den User fragen, was passieren soll", betont Phil Porras, Programmdirektor bei SRI, gegenüber Technology Review. Doch können Angreifer mithilfe von Sicherheitslücken Abfragen umgehen, sodass Schadsoftware unbemerkt installiert wird. Hier setzt BLADE an, indem jeder Download, den der User nicht explizit bestätigt hat, abgefangen wird.

"Das Problem, das ich hier sehe, ist dass BLADE offenbar lediglich den Nutzer fragt", gibt sich Ralf Benzmüller, Leiter der G Data SecurityLabs, gegenüber pressetext skeptisch. Den User zu fragen habe schon bei Firewalls, Makroviren und E-Mailanhängen nicht geklappt. "Aufmerksame und sicherheitsbewusste Nutzer mit entsprechendem Computerwissen können davon aber sicher profitieren", meint Benzmüller. Dass BLADE nicht vor Social-Engineering-Tricks schützen kann, die User zur willentlichen Installation schädlicher Software verleiten, räumt Porras indes auch selbst ein.

Um zu zeigen, dass BLADE unabhängig vom Browser und der genutzten Schwachstelle funktioniert, wird das Tool von den Informatikern mit verschiedenen Systemkonfigurationen getestet. Den Statistiken der Forscher zufolge wurden dabei bislang über 5500 Infektionen von mehr als 1300 verschiedenen Drive-by-URLs verhindert, ohne dass sich eine einzige Malware hätte an BLADE vorbeischmuggeln können. Zum Vergleich wurden die schädlichen Dateien bei VirusTotal eingereicht, das rund 40 verschiedenen AV-Programmen berücksichtigt. Diese haben nur in etwas mehr als einem Viertel der Fälle eine Bedrohung erkannt.

Besonders beliebt ist bei Hackern offenbar der Adobe Reader. Denn mehr als die Hälfte der von den Informatikern erfassten Drive-by-Exploits zielen auf Schwachstellen in diesem Programm ab. Mit knapp einem Viertel der Angriffe liegt Java an zweiter Stelle, den Rest teilen sich Internet Explorer und Flash. Gehostet werden die Exploits der BLADE-Test-Statistik zufolge besonders häufig in der Ukraine, die mit über 40 Prozent die USA und Großbritannien (je rund 18 Prozent) klar auf die Plätze verweist. (pte/hal)