Foto: wk1003mike - shutterstock.com
Schon wieder ein Java-Update? Das kann warten, denkt sich der Nutzer und klickt die Nachricht weg. Schließlich hat er keine Zeit für so etwas, er will nur schnell online nach einem neuen Smartphone suchen. Oh, eine interessante Anzeige. Der Klick führt ihn auf eine Seite, die wie ein Handy-Blog aussieht.
Doch es ist bereits passiert - ein Exploit Kit hat seinen Weg auf die Festplatte gefunden und entlädt die gefährliche Fracht: einen Virus, der Bank- und Kreditkartendaten findet und sie seinem kriminellen Meister in die Hände spielt.
So kann es ablaufen, wenn Exploit Kits zuschlagen. Innerhalb einer Sekunde ist der sogenannte Drive-by-Download geschehen, der Nutzer merkt oft noch nicht einmal etwas davon.
Was sind Exploit Kits?
Doch was sind Exploit Kits - und wie kann man sich vor ihnen schützen?
Es handelt sich bei Exploit Kits um eine spezielle Art des "Crime Kits", also einem Paket, das für den modernen Verbrecher bereits alles enthält, was er benötigt. Crime Kits bieten Kriminellen die Möglichkeit, ihre Geschäfte im Internet zu automatisieren.
Manche Kits funktionieren wie ein Trojanisches Pferd und liefern jeden Inhalt aus, den der Cyberkriminelle als zahlender Kunde festlegt. Andere Kits beschränken sich darauf, den Web-Traffic zu kontrollieren. Dies macht sie zum perfekten Werkzeug für Advertising- und Suchmaschinen-Betrug; sie können aber auch dazu genutzt werden, den Traffic gezielt auf eine andere Art des Crime Kits zu lenken - das Exploit Kit.
Wie agieren Exploit Kits?
Exploit Kits bestehen aus zwei Teilen: Der erste Teil nimmt verwundbare Software ins Visier und nutzt bestehende Listen von Software-Lücken - sogenannte Exploits - um einen Weg auf den Rechner des Opfers zu finden. War er erfolgreich, infiziert der zweite Teil das System mit der vorher festgelegten Anzahl, meistens Viren oder Ransomware, die wertvolle Inhalte auf der Festplatte des Opfers verschlüsselt und nur gegen Lösegeld wieder freigibt.
Exploit Kits nutzen Schwachstellen in Browsern und Betriebssystemen aus; beliebt sind zudem Sicherheitslücken in Java, Microsoft Silverlight sowie in Adobe Flash . Das Opfer besucht entweder eine infizierte Website oder wird durch infizierte Werbebanner oder andere Maßnahmen dorthin gelotst. Nach mehreren Umleitungen landet das Opfer auf dem Server mit dem Exploit Kit, das sich selbst installiert und seine Anzahl an Viren und Ransomware absetzt.
Im Fall des bekannten Exploit Kits "Magnitude" kauften Kriminelle Werbebanner auf Yahoo , um Nutzer auf die Domains mit dem Exploit Kit zu locken und hackten in großem Stil Wordpress-Seiten, um deren Besucher auf vergiftete Domains umzuleiten. Hier profitierten die Hacker vom hohen Vertrauenslevel, das Nutzer der Wordpress-Plattform entgegenbringen.
Magnitude und Angler
Der Markt für Exploit Kits ist groß - die verschiedenen Kits unterscheiden sich in den Sicherheitslücken, auf die sie abzielen, sowie in der Art, wie sie Antiviren-Software umgehen.
Doch der Gigant kam zu Fall, als der Entwickler im Hintergrund - bekannt unter dem Decknamen Paunch - im Oktober 2013 festgenommen wurde.
Cyberkriminelle fanden schnell einen Ersatz und der Aufstieg von "Magnitude" begann. In nur einem Monat konnten die Experten von Trustwave beobachten, wie Magnitude 1,1 Millionen Systeme ins Visier nahm, von denen 210.000 erfolgreich infiziert wurden. Scheinbar zielt Magnitude jedoch nur auf den Internet Explorer ab und schließt bestimmte Länder wie Russland von vornherein aus. Als Grund dafür wird vermutet, dass der Entwickler von Magnitude selbst in Russland sitzt.
Auch aus Russland stammt möglicherweise die aktuelle Nummer Zwei der Welt, das Exploit Kit "RIG". Anfang 2015 galt es als verschwunden, nachdem der Quellcode für RIG 2.0 geleaked worden war. Doch Mitte 2015 erschien RIG 3.0 und infizierte im Durchschnitt 27.000 Rechner pro Tag.
Eine stattliche Nummer, doch zwergenhaft verglichen mit dem aktuellen Champion unter den Exploit Kits: "Angler" infiziert pro Tag etwa 90.000 Rechner.
Angler ist nicht nur einfach zu erwerben und einfach zu nutzen, sondern auch vielseitig: Mit Angler lassen sich kriminelle Programme wie Ransomware installieren, persönliche Daten abgreifen oder die Opfersysteme per "Zombie-Infektion" in ein Botnet integrieren.
Das Exploit Kit fokussiert sich dabei nicht nur auf Sicherheitslücken in alter Software. Hinter Angler steht ein Team, das nahezu jede bekannte Sicherheitslücke sofort nach Bekanntwerden in seine Zielliste integriert. Angler nutzt zudem "dateilose" Infektionen, bei denen keine Datei heruntergeladen werden muss. Sicherheitssoftware wie Antiviren-Programme werden somit meist ausgetrickst. Die Kombination aus Nutzerfreundlichkeit und technischer Finesse machen Angler zur führenden Waffe im Arsenal des Cyberkriminellen.
Exploit Kits auf dem Vormarsch
Die vergifteten Domains, mit deren Hilfe Malware verbreitet wird, nehmen Jahr für Jahr zu - das zeigt der aktuelle Infoblox DNS Threat Index. Er registriert die neu aufgesetzten Domains und die Verbreitung aktueller Exploit Kits. Demnach bleibt Angler die größte Gefahr. Aber auch Totgeglaubte wie RIG kommen wieder nach oben und zeigen, dass sich auch alte Exploits durch neue Methoden anpassen können.
Beunruhigend ist die Entwicklung im vierten Quartal des letzten Jahres. Bisher ließ sich nach einer Periode des starken Wachstums von Malware-Domains eine Ruheperiode beobachten. Auf die "Aussaat" der Cyberkriminellen, die ihre DNS-Infrastruktur als Basis für Angriffe aufbauten, folgte die "Ernte", in der umfassende Attacken gestartet und Daten gestohlen, jedoch keine neuen Domains aufgesetzt wurden.
Dieser Zyklus scheint nun durchbrochen: Das vierte Quartal 2015 hätte ruhig werden müssen, stattdessen ließ sich mehr Aktivität beobachten als in den meisten vorherigen Quartalen.
Ein weiterer interessanter Trend zeigt sich, wenn man die logistischen Ursprünge der Malware betrachtet. Im ersten Moment könnte man die Hoster von Malware und infizierten Websites in Osteuropa oder China vermuten.
Doch so weit braucht man gar nicht zu schauen: Deutschland hostet knapp 20 Prozent der neuen Malware-Websites - und ist damit die unangefochtene Nummer Zwei hinter den USA. Alle anderen Länder, auch China und Russland, liegen unter 2 Prozent. Cyberkriminelle profitieren von der komplexen und fortgeschrittenen Internet-Infrastruktur in Deutschland, während die Nähe zu osteuropäischen Cybercrime-Ringen ihnen gleichzeitig den Handel leicht macht. Deutschland gilt eben auch in Gangster-Kreisen als sicheres Land, um dort Geschäfte abzuwickeln.
Fazit: Updates und Sicherheitsebenen
Gerade bei modernen Exploit Kits wie Angler sind Antiviren-Programme allein keine Lösung, sondern lediglich ein Perimeterschutz, also eine erste Hürde, die Exploit Kits jedoch gekonnt überwinden.
Nur eine sichere und robuste Netzwerkarchitektur kann Daten und Anwendungen schützen. Es geht darum, mehrere Sicherheitsebenen zu schaffen. Vor allem die eigene DNS-Infrastruktur sollte gesichert werden, denn sie muss als "Telefonbuch des Internets" für jeden zugänglich sein und wird daher schnell zum Opfer von Exploit Kits und anderen Bedrohungen wie Phishing und C&C-Malware. Nutzer sollten zudem alle Updates ausführen - so besteht die größte Chance, alle Sicherheitslücken zu schließen.
Sollte es dennoch zu einer Infektion kommen, muss das betroffene System sofort isoliert werden, damit die Malware sich nicht im Netzwerk ausbreiten kann. Der Trend geht außerdem hin zur mobilen Infektion. Smartphones werden vermehrt für die Aufgaben verwendet, die früher auf PCs erledigt wurden: Mails schreiben, Surfen, Online-Banking und Social Media. Hier ist daher doppelte Vorsicht angesagt.
Die Bedrohung scheint enorm, doch Cyberkriminelle sind meistens auf der Suche nach leichter Beute. Sobald die Schwelle zu hoch wird, ziehen sie weiter. Daher gilt mobil wie stationär: Updates einhalten und mehrere Sicherheitsebenen einziehen. (PC-Welt)