Malware

So schützen Sie sich vor Exploit Kits

06.06.2016
Von 


Der Diplom Ingenieur Rainer Singer ist Sales Engineering Manager Central Europe bei Netskope. Er verfügt über langjährige Erfahrung im Systems- und Security-Engineering-Bereich und war unter anderem bei SE Manager CEUR bei Infoblox, bei F5 Networks als Systems Engineer und bei Integralis als Technical Consultant tätig.
Exploit Kits sind die Lieblingswaffe der Cyberkriminellen, sie automatisieren das Verbrechen im Internet. Aber was genau sind Exploit Kits und wie kann man sich vor ihnen schützen?
Nur eine sichere und robuste Netzwerkarchitektur kann Daten und Anwendungen schützen.
Nur eine sichere und robuste Netzwerkarchitektur kann Daten und Anwendungen schützen.
Foto: wk1003mike - shutterstock.com

Schon wieder ein Java-Update? Das kann warten, denkt sich der Nutzer und klickt die Nachricht weg. Schließlich hat er keine Zeit für so etwas, er will nur schnell online nach einem neuen Smartphone suchen. Oh, eine interessante Anzeige. Der Klick führt ihn auf eine Seite, die wie ein Handy-Blog aussieht.

Doch es ist bereits passiert - ein Exploit Kit hat seinen Weg auf die Festplatte gefunden und entlädt die gefährliche Fracht: einen Virus, der Bank- und Kreditkartendaten findet und sie seinem kriminellen Meister in die Hände spielt.

So kann es ablaufen, wenn Exploit Kits zuschlagen. Innerhalb einer Sekunde ist der sogenannte Drive-by-Download geschehen, der Nutzer merkt oft noch nicht einmal etwas davon.

Was sind Exploit Kits?

Doch was sind Exploit Kits - und wie kann man sich vor ihnen schützen?

Es handelt sich bei Exploit Kits um eine spezielle Art des "Crime Kits", also einem Paket, das für den modernen Verbrecher bereits alles enthält, was er benötigt. Crime Kits bieten Kriminellen die Möglichkeit, ihre Geschäfte im Internet zu automatisieren.

Manche Kits funktionieren wie ein Trojanisches Pferd und liefern jeden Inhalt aus, den der Cyberkriminelle als zahlender Kunde festlegt. Andere Kits beschränken sich darauf, den Web-Traffic zu kontrollieren. Dies macht sie zum perfekten Werkzeug für Advertising- und Suchmaschinen-Betrug; sie können aber auch dazu genutzt werden, den Traffic gezielt auf eine andere Art des Crime Kits zu lenken - das Exploit Kit.

Wie agieren Exploit Kits?

Exploit Kits bestehen aus zwei Teilen: Der erste Teil nimmt verwundbare Software ins Visier und nutzt bestehende Listen von Software-Lücken - sogenannte Exploits - um einen Weg auf den Rechner des Opfers zu finden. War er erfolgreich, infiziert der zweite Teil das System mit der vorher festgelegten Anzahl, meistens Viren oder Ransomware, die wertvolle Inhalte auf der Festplatte des Opfers verschlüsselt und nur gegen Lösegeld wieder freigibt.

Exploit Kits nutzen Schwachstellen in Browsern und Betriebssystemen aus; beliebt sind zudem Sicherheitslücken in Java, Microsoft Silverlight sowie in Adobe Flash . Das Opfer besucht entweder eine infizierte Website oder wird durch infizierte Werbebanner oder andere Maßnahmen dorthin gelotst. Nach mehreren Umleitungen landet das Opfer auf dem Server mit dem Exploit Kit, das sich selbst installiert und seine Anzahl an Viren und Ransomware absetzt.

Im Fall des bekannten Exploit Kits "Magnitude" kauften Kriminelle Werbebanner auf Yahoo , um Nutzer auf die Domains mit dem Exploit Kit zu locken und hackten in großem Stil Wordpress-Seiten, um deren Besucher auf vergiftete Domains umzuleiten. Hier profitierten die Hacker vom hohen Vertrauenslevel, das Nutzer der Wordpress-Plattform entgegenbringen.

Magnitude und Angler

Der Markt für Exploit Kits ist groß - die verschiedenen Kits unterscheiden sich in den Sicherheitslücken, auf die sie abzielen, sowie in der Art, wie sie Antiviren-Software umgehen.

Doch der Gigant kam zu Fall, als der Entwickler im Hintergrund - bekannt unter dem Decknamen Paunch - im Oktober 2013 festgenommen wurde.

Cyberkriminelle fanden schnell einen Ersatz und der Aufstieg von "Magnitude" begann. In nur einem Monat konnten die Experten von Trustwave beobachten, wie Magnitude 1,1 Millionen Systeme ins Visier nahm, von denen 210.000 erfolgreich infiziert wurden. Scheinbar zielt Magnitude jedoch nur auf den Internet Explorer ab und schließt bestimmte Länder wie Russland von vornherein aus. Als Grund dafür wird vermutet, dass der Entwickler von Magnitude selbst in Russland sitzt.

Auch aus Russland stammt möglicherweise die aktuelle Nummer Zwei der Welt, das Exploit Kit "RIG". Anfang 2015 galt es als verschwunden, nachdem der Quellcode für RIG 2.0 geleaked worden war. Doch Mitte 2015 erschien RIG 3.0 und infizierte im Durchschnitt 27.000 Rechner pro Tag.

Eine stattliche Nummer, doch zwergenhaft verglichen mit dem aktuellen Champion unter den Exploit Kits: "Angler" infiziert pro Tag etwa 90.000 Rechner.

Angler ist nicht nur einfach zu erwerben und einfach zu nutzen, sondern auch vielseitig: Mit Angler lassen sich kriminelle Programme wie Ransomware installieren, persönliche Daten abgreifen oder die Opfersysteme per "Zombie-Infektion" in ein Botnet integrieren.

Das Exploit Kit fokussiert sich dabei nicht nur auf Sicherheitslücken in alter Software. Hinter Angler steht ein Team, das nahezu jede bekannte Sicherheitslücke sofort nach Bekanntwerden in seine Zielliste integriert. Angler nutzt zudem "dateilose" Infektionen, bei denen keine Datei heruntergeladen werden muss. Sicherheitssoftware wie Antiviren-Programme werden somit meist ausgetrickst. Die Kombination aus Nutzerfreundlichkeit und technischer Finesse machen Angler zur führenden Waffe im Arsenal des Cyberkriminellen.