Studie: Schutz vor Drive-by-Downloads

Das internationale Honeynet-Projekt hat eine neue Studie veröffentlicht, in der Schutzmaßnahmen vor so genannten Drive-by-Downloads von Malware untersucht worden sind.

Die Mitglieder des Honeynets-Projekts kommen unter anderem aus Deutschland, den Niederlanden, Neuseeland, Australien und den USA. Sie veröffentlichen in unregelmäßiger Folge eine Serie von Berichten unter dem Titel "Know Your Enemy" (KYE). Im August haben sie die jüngste Folge "Know Your Enemy: Malicious Web Servers" publiziert, in der sich die Autoren mit Schutzmaßnahmen vor Drive-by-Downloads beschäftigen.

Unter dem Begriff "Drive-by-Downloads" versteht man die meist unbemerkte Verseuchung des Rechners durch Malware, während man vermeintlich harmlose Websites besucht. Schädlinge wie Adware, Bots oder Trojanische Pferde werden über Sicherheitslücken im Browser oder in über den Browser angreifbaren Systemkomponenten (etwa den Windows Media Player) eingeschleust.

Im Rahmen einer Studie haben Mitglieder des Honeynets-Projekts untersucht, welchen Schutz die Wahl des Browsers, das Einspielen von Sicherheits-Updates und der Einsatz von URL-Blacklists bieten. Bei der im Mai dieses Jahres durchgeführten Studie kamen die nicht mehr ganz aktuellen Browser Internet Explorer 6.0 SP2, Firefox 1.5 und Opera 8.0 zum Einsatz. Eine große Zahl durch die betriebenen Honeypots als Malware-haltig bekannter Websites wurde mit diesen Browsern aufgerufen und die Ergebnisse (Veränderungen am System durch eingeschleuste Malware) festgehalten. Dabei hat sich herausgestellt, dass es praktisch keine erfolgreichen Angriffe gegen Firefox und Opera gegeben hat.

Die Autoren zeigen sich davon überrascht, hatten sie doch zuvor die veröffentlichten Sicherheitslücken durchgezählt und dabei für Firefox mehr als für den IE gefunden. Sie gehen davon aus, dass Firefox-Nutzer die automatische Update-Funktion des Browsers aktiviert lassen, auch wenn sie Windows Update ausschalten. Sie gehen ferner davon aus, dass die Malware-Programmierer Firefox kaum und Opera gar nicht anzugreifen versuchen. Die Installation von Sicherheits-Updates hat sich ebenfalls als sehr erfolgreiche Abwehrmaßnahme erwiesen. Bei Verwendung des Internet Explorers mit allen zu dem Zeitpunkt verfügbaren Updates wurde kein einziger erfolgreicher Angriff registriert.

Der Einsatz von so genannten URL-Blacklists, also Sperrlisten bekannt schädlicher Websites, ist nach den Ergebnissen der Studie auch eine gute Schutzmaßnahme. Obwohl viele der im Rahmen der Studie besuchten Websites gar nicht auf den verwendeten Sperrlisten standen, blieb nur eine einzige schädliche Website ungefiltert. Das erklärt sich dadurch, dass die meisten der Websites den eigentlich schädlichen Code nur in Form eines Iframe enthalten, dessen Inhalt von einem (bekannten) anderen Malware-Server geladen wird. Als Fazit bleibt festzuhalten, dass es gute Schutzmaßnahmen gegen die Verseuchung eines Windows-Rechners durch Drive-by-Downloads gibt. Sie müssten nur angewandt werden. (PC-Welt/mja)