zurück zur Übersicht

Exploit Kits: Beat The Malware Bastards!

So schlagen Sie Angriffe mit Exploit Kits zurück!Ein Exploit Kit wird in der Regel auf einem Webserver eingesetzt und beinhaltet eine Sammlung von Seiten, die einen Anwender auf Landing Pages umleitet. Es versucht dann das anfragende System auf Schwachstellen zu prüfen. Ist es fündig geworden, wird das System mittels passendem Exploit, einem kleinen Stückchen Code, das die Schwachstelle gezielt ausnutzt, infiziert.

In der Regel nutzen Angreifer Exploit Kits, um eine große Masse an Rechnern über das Internet mit Schadsoftware wie z.B. Ransomware oder Remote Access Tools (RAT) zu infizieren.

Die Funktion von Exploit Kits im Detail

Schritt 1 – Das Opfer auf die Exploit Seite bringen

Der Angreifer versucht das Opfer auf eine präparierte Webseite zu locken. Dies kann durch unterschiedlichste Methoden geschehen. Eine dieser Methoden sieht wie folgt aus.

Eine Webseite besteht aus unterschiedlichen Bestandteilen (Text, Bilder, Multimediainhalte, Layoutinformationen, Scripte etc.). Diese werden im Webbrowser des Opfers zusammengesetzt. Eine dieser Bestandteile einer oft besuchten und angesehenen Webseite wird nun so manipuliert (möglich z.B. durch Cross Site Scripting), dass eine zusätzliche Komponente in die Webseite einfügt wird. Diese beinhaltet die Umleitung auf die Webseite des Angreifers, wo das Exploit Kit platziert ist. Diese Weiterleitungen sind meistens so platziert, dass der Aufruf für den Anwender nicht sichtbar ist und alle weiteren Anfragen im Hintergrund geschehen.

Schritt 2 – Überprüfung des Opfersystems

Das Exploit Kit überprüft nun das anfragende System, ob es sich um einen Honeypot oder eine Sandbox handelt, die eingesetzt werden, um schadhafte Webseiten zu erkennen und zu analysieren. Außerdem soll der verwendete Webbrowser und die installierte Software herausgefunden werden. Anhand dieser Informationen entscheidet das Exploit Kit ob und zu welcher finalen Landing Page das System weitergeleitet werden soll.

Schritt 3 – Auslieferung des Exploits

Auf der Landing Page befindet sich der eigentliche Exploit Code. Welcher konkret für das Opfersystem verwendet werden soll, ist unterschiedlich. Je nachdem was die Analyse des Systems ergeben hat und welche Software zum Einsatz kommt.

Schritt 4 – Auslieferung der Schadsoftware

Nach der Aktivierung des Exploits und erfolgreicher Kompromittierung des Opfersystems wird die eigentliche Schadsoftware, die sog. Payload, übertragen. Deren Spektrum ist groß. Oft ist es das Ziel der Angreifer möglichst viele Opfer mit einer generischen Malware, beispielsweise mit Ransomware zu infizieren. Im Rahmen von Waterholing Attacks werden aber auch spezifische Ziele angegriffen, um gezielt Organisationen oder Unternehmen einer bestimmten Branche zu infiltrieren.

Welche Gegenmaßnahmen können getroffen werden

Damit der Schadcode erfolgreich ausgeliefert werden kann, müssen alle zuvor genannten Schritte erfolgreich ausgeführt werden. Das Ziel ist es, einen dieser Schritte zu stoppen. Dies kann durch unterschiedlichste Lösungsansätze realisiert werden.

Schritt 1, die Umleitung auf die Exploit Webseite, kann durch URL-Filter unterbunden werden. Hersteller von Content-Security-Lösungen stellen dazu entsprechende Reputationsinformationen zur Verfügung, die es ermöglichen, den Aufruf der Exploit Kit Landing Page zu unterbinden.

Schritt 2, die Überprüfung des Opfersystems auf Schwachstellen und Auslieferung des Exploits, kann durch IPS-Systeme erkannt und verhindert werden. Dies können netzwerkbasierte IPS-Systeme, als auch Host-based IPS (sog. HIPS) sein. Letztere sind oft Bestandteile von Antivirus-Lösungen.

Schritt 3, die Auslieferung des Exploits, kann ebenfalls durch IPS und AV-Lösungen erkannt und unterbunden werden. Es gibt aber auch Advanced Threat Prevention Lösungen, die speziell darauf ausgerichtet sind, die Ausführung von Exploits zu verhindern. Da es nur eine begrenzte Zahl von Exploit-Techniken gibt, kommen diese Lösungen ohne Signaturen aus, wodurch mit diesem Ansatz auch ein Schutz gegen unbekannte Malware gegeben ist, da der Angriff schon vor deren Übertragung unterbunden wird.

Schritt 4, die Auslieferung der eigentlichen Schadkomponente stellt die letzte Phase der Infektion dar. Hier besteht die Möglichkeit die Übertragung zu unterbinden, wenn die Schadkomponente durch die AV-Funktion auf Gateways oder durch Sandboxing-Lösungen erkannt wurde. Erreicht sie das Zielsystem, sind Endpoint-Security-Lösungen die letzte Verteidigungslinie. Erkennen diese die Schadsoftware nicht und kommt diese zur Ausführung, können SIEM-Systeme und Lösungen zur Anomlieerkennung dafür sorgen, dass Schadsoftware aufgrund ihres Verhaltens und entsprechender Kommunikationsmuster schnell ausfindig und mittels geeigneter Incident-Response-Maßnahmen unschädlich gemacht werden kann.

Haben Sie Fragen zum Thema Endpoint Security und Schutz vor Exploit Kits, Ransomware & Co.? Sprechen Sie uns an, wir beraten Sie gern.


 

Bild: ©Shutterstock/Multistock

Schreibe einen Kommentar