Angriffe aus dem Hinterhalt - Neue Formen der Online-Attacken bedrohen ahnungslose Surfer

Damit einem die bösen Angreifer mit ihren Tricks die Lust aufs Surfen nicht verleiden, gilt es, Maßnahmen zum Verrammeln des PC zu ergreifen. In vielen Fällen hilft es bereits, einige Einstellungen in der installierten Software oder im Router zu ändern. Wenn das Kind schon im Brunnen liegt, bieten sich zumeist kostenlose Tools an, die beim Erkennen und Abwehren von Angriffen helfen.

Da die neuartigen Angriffe fast ausschließlich über das Web erfolgen, muss der Anwender die Barrikaden in erster Linie im Browser errichten. Einfachste Maßnahme, um sich etwa vor der Plage Cross-Site-Scripting in sämtlichen Variationen zu schützen: JavaScript abschalten. Leider schaltet man damit auch quasi das Internet ab, da so gut wie alle Seiten JavaScript zur Bedienung voraussetzen. Also gilt es, das Abschalten etwas feinfühliger vorzunehmen und über eine Positivliste JavaScript nur noch in bestimmten Seiten zuzulassen.

Gegen Tollwut

Das NoScript-Plug-in für Mozilla-basierte Browser wie Firefox leistet dabei gute Dienste. Es verhindert nicht nur das Ausführen von JavaScript, sondern unterdrückt auch Java-Applets, Flash und Microsofts Silverlight. Darüber hinaus ist es in der Lage, mittels regulärer Ausdrücke klassische Cross-Site-Scripting-Angriffe auf erlaubten Seiten zu erkennen und zu verhindern, also solche, bei denen JavaScript in einer URL eingebettet ist. Allerdings gibt es einige Seiten, bei denen nach Angaben der NoScript-Entwickler die Anti-XSS-Protection fälschlicherweise anspringt, beispielsweise bei Amazon und eBay. Für solche Fälle kann der Anwender mit regulären Ausdrücken Ausnahmen formulieren.

Darüber hinaus kann No-Script auch IFrames aus Webseiten ausfiltern und nur bei Erlaubnis durch den Anwender öffnen. Es ist empfehlenswert, diese in der Standardeinstellung deaktivierte Option anzustellen – in unseren Tests gab es damit keine Probleme auf Webseiten.

NoScript bringt eine sehr knappe Liste von vertrauenswürdigen Webseiten mit, die aktive Inhalte ausführen dürfen. Alle weiteren Seiten muss man selbst hinzufügen, was sich aber recht einfach über den Dialog beim erstmaligen Ansurfen einer Seite nach der Installation des Plug-ins erledigen lässt. Blockierte Skripte und Plug-ins lassen sich jederzeit auch temporär freischalten, was etwa bei Flash-Filmchen ganz praktisch ist oder bei Webseiten, die JavaScript zur Navigation benötigen. Zu sicher sollte man sich mit No-Script aber dennoch nicht fühlen. Es kann nicht vor XSS-Angriffen schützen, wenn der Code in erlaubte Seiten eingebettet ist. Darüber hinaus ist das Plug-in mittlerweile so beliebt und verbreitet, dass sich Hacker bereits mit dem Austricksen des Tools beschäftigen. Vor bösartigem ActionScript in zugelassenen Flash-Applets schützt es ebenfalls nicht.

Das Plug-in FlashBlock für Mozilla-basierte Webbrowser ist quasi eine abgespeckte Version von NoScript, die nur die Ausführung von Flash-Applets auf Webseiten verhindert. Dabei ersetzt es die Animation durch eine Platzhalter-Grafik, die beim Anklicken das jeweilige Applet freischaltet. Anders als NoScript hat FlashBlock eher zum Ziel, lästige Flash-Werbung draußen zu halten, die im Übermaß die CPU-Belastung und damit die Reaktionszeit des Rechners negativ beeinflusst. Speziellen Angriffen mit ActionScript oder Lücken im Flash Player hat FlashBlock nichts entgegenzusetzen. Wer also mit FlashBlock jedes Applet temporär freischaltet, hat keinen Schutz mehr.

Noch in der frühen Entwicklung befindet sich das Firefox-Add-on Firekeeper, das sich als Intrusion-Detection- und Prevention-System für Firefox versteht. Es nutzt die Erkennungsroutinen des Open-Source-Intrusion-Detection-Systems Snort, um bestimmte webbasierte Angriffe auf den Browser zu erkennen, den weiteren Zugriff auf die Webseite zu blockieren und sie in eine Blacklist einzutragen. Allerdings hapert es ein wenig bei den Regelsätzen, mit denen sich derzeit nur altbekannte und plumpe Angriffe abwehren lassen. Einige aktive Nutzer arbeiten jedoch an der Aktualisierung der Regelwerke und stellen diese zum Download bereit. Wer sich mit Snort auskennt, kann sich selbst Regelsätze stricken.

Im Test schlug Firekeeper bei einigen schädlichen Webseiten an. Interessanterweise warnte es unter anderem auch regelmäßig auf den Seiten des US-amerikanischen News-Portals eWeek. Das Portal nutzt zur Einbindung seines Werbepartners Doubleklick URLs, die JavaScript-Tags enthalten. Um weitere Fehlalarme zu vermeiden, kann der Anwender eine Seite respektive Link in eine Whitelist aufnehmen.

Sandkasten-Browser

Der Microsoft-Browser lässt sich mit dem c’t-IEController im Zaum halten. Er ermöglicht, JavaScript und ActiveX-Module zu blockieren oder für vertrauenswürdige Seiten deren Ausführung explizit zu gestatten. Der IEController geht dabei aber weiter als NoScript im Firefox. Er packt den Browser in eine Sandbox und überwacht Aufrufe von Systemfunktionen wie CreateRemote-Thread(), mit denen eingedrungene Schädlinge sich in andere Prozesse zu injizieren versuchen. Das Programm kann auch beliebige Anwendungen daran hindern, auf Systemdateien zuzugreifen, Daten ins Internet zu senden, die Registry zu verändern oder andere Prozesse zu manipulieren. IEController kann beispielsweise verhindern, dass ein DVD-Player Daten ins Internet sendet, oder dass ein Instant-Messenger Dateien ausspioniert.

Leider gibt es keine speziellen kostenlosen Tools für den Internet Explorer zum Analysieren des Webverkehrs. Stattdessen bietet sich der freie HTTP-Debugging-Proxy Fiddler an, der den kompletten Verkehr zwischen Browser und Server mitschreibt und darstellt. Allerdings ist Fiddler eher für Entwickler zur Fehlersuche und weniger als Schutz für Anwender geeignet.

Anwender des Internet Explorer sollten erwägen, auf den Firefox umzusteigen. Der Wechsel wäre allein schon durch die zahlreichen Lücken in ActiveX-Controls verschiedener Hersteller zu rechtfertigen, die in den letzten Monaten ein überschaubares Maß überschritten haben. Immer wieder sieht sich Microsoft gezwungen, Updates für seinen Browser zu verteilen, um per Kill-Bit diverse Controls zu deaktivieren. Zudem ist und bleibt der Internet Explorer das bevorzugte Angriffsziel.

Verhaltenskontrolle

Die Installation eines Virenscanners ist zwar obligatorisch, allerdings bietet dieser nicht immer hundertprozentigen Schutz des PC, insbesondere wenn der Scanner nur signaturbasiert arbeitet und sich der Eindringling zudem durch ein Rootkit versteckt. Da die meisten aktuellen Schädlinge wie der Storm Worm Bot-Verhalten aufweisen, liegt es nahe, statt nur den PC zusätzlich noch den Netzwerkverkehr des Rechners zu überwachen. Verdächtig viele ausgehende E-Mails oder Netzwerkverkehr von und zu einem Command-and-Control-Server können Hinweise darauf liefern, dass der eigene PC Mitglied eines Bot-Netzes ist. Wir haben die Erkennungsrate von zwei speziellen Anti-Bot-Produkten und einer manuellen Lösung anhand von fünf exemplarischen Bots getestet.

Trend Micros derzeit noch kostenloses RUBotted (ausgesprochen „Are you botted?“) gehört zu den verhaltensbasierten Sicherheitslösungen, die den Rechner auf typischerweise von Bots erzeugten Netzwerkverkehr überprüfen. Dazu gehören eingehender HTTP-Verkehr, IRC-Verbindungen, DNS-Anfragen und ausgehender SMTP-Verkehr. RUBotted verhindert nicht das Einnisten der Schädlinge. Es soll sie jedoch erkennen, wenn sie versuchen, Kontakt zu ihrem Command-and-Control-Server aufzunehmen.

Das Tool bietet dem Anwender nach einem Fund an, den Rechner mit dem Online-Virenscanner HouseCall genauer zu untersuchen und Schädlinge zu entfernen. RUBotted schlägt prinzipbedingt nur an, wenn die Command-and-Control-Server noch aktiv sind – ohne Netzwerkverkehr gibt es auch keine Warnung. Vor einem gerade aktivem IRC-Bot, der zahlreiche SSL-verschlüsselte Anfragen an einen IRC-Server schickte, warnte RUBotted in unseren Tests ebenso wenig, wie vor den anderen vier Schädlingen. RUBottet liegt bislang nur als Beta-Version vor und ist in der jetzigen Fassung nutzlos.

Nortons 30 Euro teures Anti-Bot überwacht hingegen alle gestarteten Prozesse auf dem System und schlägt Alarm, wenn sie zu viele verdächtige Aktivitäten ausführen. Dabei bewertet AntiBot etwa das Anlegen von Einträgen in der Registry für den automatischen Start von Software, das Ablegen von Dateien im Windows-Verzeichnis, Modifikationen der hosts-Datei, Aufbau von Netzwerkverbindungen etwa zu IRC-Server, das Einklinken in andere Prozesse oder auch das Verstecken von Dateien mittels Rootkit-Techniken sowie des Anwendungsfensters. Im Test erkannte AntiBot alle fünf Schädlinge.

Blindekuh

Bei Verdacht auf eine Infektion mit einem Bot kann man den Rechner statt mit speziellen kostenpflichtigen Programmen auch mit kostenlosen Werkzeugen manuell untersuchen. Dafür benötigt man lediglich das Netzwerk-Analyse-Werkzeug Wireshark und etwa das Anti-Rootkit-Tool GMER.

Sofern weder Browser, Mailclient noch anderen Netzwerkanwendungen laufen, sollte der Rechner sehr wenig Netzwerkverkehr produzieren. Einzige Verursacher sollten dann das Betriebssystem auf der Suche nach weiteren Rechner im LAN sein sowie die Clients für automatische Updates verschiedenster Software, etwa für Adobe-Produkte, Java, Virenscanner und dergleichen. Je weniger Dienste laufen, desto weniger Pakete muss man später analysieren, und desto leichter findet man unerwünschte Verbindungen. In der Regel lassen sich Update-Dienste beispielsweise unter Windows mit dem Prozessmanager (Strg-Alt-Entf) temporär deaktivieren.

Drei von fünf der von uns beobachteten Schädlinge verrieten sich bei der Beobachtung des Netzwerkverkehrs mit Wireshark unter anderem durch größere Mengen an ein- und ausgehenden UDP-Paketen, die bei der Kommunikation des Bots mit seinem Command-and-Control-Server beziehungsweise bei der Suche danach anfielen.

Dazu zählte auch der getestete IRC-Bot, der sich durch zahlreiche Zugriffe auf IRC-Server verriet – die allerdings SSL-verschlüsselt waren. Dadurch ließ sich zwar die Kommunikation nicht analysieren, da wir aber keinen IRC-Client auf dem Rechner installiert und gestartet hatten, lag der Schluss nahe, dass ein Schädling den Verkehr hervorruft.

Die anderen Hintertüren konnten wir mit dem kostenlosen Tool GMER aufspüren. Nach dem Start entdeckte das Werkzeug verdächtige Modifikationen im System und riet uns zu einer Systemuntersuchung. Zahlreiche der aktuellen Schädlinge setzen auf Rootkit-Techniken, um sich zu verstecken, und lassen sich daher durch Tools wie GMER entdecken.

Zur Entfernung der entlarvten Trojaner, Rootkits und weiterer Schädlinge sollte man auf eine saubere Boot-CD mit Virenscanner wie Knoppicillin aus c’t 26/07 zurückgreifen. Da das befallene System bei einer Analyse mit der Linux-Live-CD nicht läuft, greift das Rootkit nicht, sodass der Scanner sie mit aktuellen Virensignaturen aufspüren und entfernen kann.

Router sichern

Neben den zusätzlichen Schutzmaßnahmen für den PC empfiehlt es sich, auch den Router vor möglichen Angriffen zu sichern. Zuerst sollte man die UPnP-Funktion deaktivieren, damit weder ein regulärer Client, ein bösartiger Trojaner noch ein Flash-Film die Firewall ohne Erlaubnis des Anwenders durchbohren können. Zusätzlich muss der Anwender das Standardpasswort auf ein schwer erratbares ändern. Das schützt immerhin vor Cross-Site-Request-Forgery-Angriffen (CSRF), bei denen Skripte versuchen, sich automatisch in den Router einzuloggen. Es schützt nicht davor, wenn der Anwender im Router eingeloggt ist und gleichzeitig im Web surft. Daher gilt sowohl bei der Konfiguration des Routers als bei der Arbeit in Content-Management-Systemen: Möglichst nicht in einem weiteren Browserfenster herumsurfen.

Zudem sollte man darauf achten, eine Session aktiv zu beenden, indem man sich aus der Weboberfläche ausloggt. Ansonsten bleibt die Session oft aktiv und lässt sich ausnutzen, obwohl das Browserfenster längst geschlossen ist – unter Umständen stundenlang.

Updates!

Auch wenn gerade die neuartigen Angriffe in aller Munde sind, ist es weiterhin immens wichtig, sich vor den alten Angriffen zu schützen. Dazu gehört, in allen Anwendungsbereichen immer nur mit der aktuellsten Software-Version zu arbeiten. Das gilt nicht nur für Browser, sondern auch für alle integrierten Plug-ins wie Adobe Flash, Adobe Reader, QuickTime, Java und so weiter. Weil die mitgelieferten automatischen Updatetools ziemlich nerven können, haben viele Anwender sie einfach deaktiviert – und merken nun nicht mehr, dass sie mit veralteter Software unterwegs sind. Gerade bei Flash und QuickTime hätte dies in den vergangenen Monaten ziemlich ins Auge gehen können.

Wer auch ohne automatisches Update auf dem neuesten Stand bleiben will, liest heise online oder installiert sich Tools wie den Personal Security Instructor (PSI) von Secunia. PSI inventarisiert die installierte Software von Windows-Rechnern und vergleicht die Versionen mit den aktuell verfügbaren.

Eine Analyse der aktuellen Bedrohungslage für Surfer liefert der Artikel "Dunkle Flecken, Neuartige Angriffe überrumpeln Webanwender" von Daniel Bachfeld in der Printausgabe 11/08 des c't magazins ab Seite 82. Den Beitrag erhalten Sie ab dem 26. Mai 2008 auch als pdf-Datei im c't-Kiosk.

Einen Blick hinter die Kulissen wagt der Artikel "Unter Verdacht, Eine russische Bande professionalisiert das Cybercrime-Business" von Frank Faber in der Printausgabe 11/08 des c't magazins ab Seite 92. Auch diesen Artikel erhalten Sie ab dem 26. Mai 2008 als pdf-Datei im c't-Kiosk.

Im Themenforum Prüfstand diskutieren.